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第 6 章 


动态 站 由 


EE 


路 由 信息 协议 RIP (Routing Information Protocol) 是 一 个 真正 的 距离 矢量 路 由 选择 协议 。 
它 每 隔 30 秒 钟 就 送出 自己 完整 的 路 由 表 到 所 有 激活 的 接口 。RIP 只 使 用 跳 数 来 决定 到 达 远 
程 网 络 的 最 佳 方式 , 并 且 在 默认 时 它 所 允许 的 最 大 跳 数 为 15 跳 , 也 就 是 说 16 跳 的 距离 将 被 
认为 是 不 可 达 的 。 

在 小 型 网 络 中 ，RIP 会 运转 良好 ， 但 是 对 于 使 用 慢 速 WAN 连接 的 大 型 网 络 或 者 安装 有 
大 量 路 由 器 的 网 络 来 说 ， 它 的 效率 就 很 低 了 。 即 便 是 网 络 没有 变化 ， 也 是 每 隔 30 秒 发 送 路 
由 表 到 所 有 激活 的 接口 ， 占 用 网 络 带 宽 。 

当 路 由 器 A 意外 故障 down 机 ， 需 要 由 它 的 邻居 路 由 器 B 将 路 由 器 A 所 连接 的 网 段 不 
可 到 达 的 信息 通告 出 去 。 路 由 器 B 如 何 断 定 某 个 路 由 失效 ? 如 果 路 由 器 B 180 秒 没有 得 到 关 
于 某 个 指定 路 由 的 任何 更 新 ， 就 认为 这 个 路 由 失效 。 所 以 这 个 周期 性 更 新 是 必须 的 。 

RIP 版 本 1 使 用 有 类 路 由 选择 ， 即 在 该 网 络 中 的 所 有 设备 必须 使 用 相同 的 子 网 掩 码 ， 这 
是 因为 RIP 版 本 1 不 发 送 带 有 子 网 掩 码 信息 的 更 新 数据 。RIP 版 本 2 提供 了 被 称 为 前 级 路 由 
选择 的 信息 ， 并 利用 路 由 更 新 来 传送 子 网 掩 码 信 息 ， 这 就 是 所 谓 的 无 类 路 由 选择 。 

RIP 是 典型 的 距离 矢量 路 由 选择 协议 ， 距 离 矢量 路 由 选择 算法 发 送 完整 的 路 由 表 到 相 邻 
的 路 由 器 ， 然 后 ， 相 邻 的 路 由 器 会 将 接收 到 的 路 由 表 项 与 自己 原 有 的 路 由 表 进 行 组 合 ， 以 完 
善 路 由 器 的 路 由 表 。 

RIP 只 使 用 跳 数 来 决定 到 达 某 个 互联 网 络 的 最 佳 路 径 。 如 果 RIP 发 现 对 于 同一 个 远程 网 
络 存 在 有 不 止 一 条 链 路 , 并 且 它 们 又 都 具有 相同 的 跳 数 , 则 路 由 器 将 自动 执行 循环 负载 均衡 。 
RIP 可 以 对 多 达 6 个 相同 开销 的 链 路 实现 负载 均衡 (默认 为 4 个 )。 

下 面 将 讲解 RIP 协议 的 配置 。 


6.2.1 ”RIP 的 配置 过 程 


下 面 将 会 以 实例 演示 RIP 配置 的 过 程 ， 会 讲解 过 程 中 使 用 的 一 些 参数 。 
打开 随 书 光盘 中 第 6 章 练习 “01 动态 路 由 RIPpkt”， 网 络 拓扑 和 IP 地 址 规划 如 图 6-2 
所 示 ， 网 络 中 的 路 由 器 和 耳 地 址 已 经 配置 好 。 


192.168.2.0/24 2 1 192. 168. 3.0/24 


1 192.168.5.0/24 192.168.4.0/24 
192. 168.1. 0/24 192. 168.7.0/24 


1 
192. 168.6. 0/24 


2 192. 168.0. 0/24 
A 图 6-2 网 络 拓扑 
215 


英 产 


计算 机 网 络 


216 


以 下 步骤 将 会 演示 在 A、B、C、D 和 EE 路 由 器 上 启用 RIP 协议 ， 查 看 路 由 器 上 的 路 由 


表 ， 验 证 配置 RIP 时 ，network 命令 的 作用 ， 跟 踪 数 据 包 从 PC0 到 PC2 的 路 径 ， 验 证 当 最 佳 
路 径 不 可 用 后 ，RIP 能 够 自动 更 新 路 由 表 。 


操作 步骤 如 下 。 
(1) 在 路 由 器 A 上 ， 启 用 和 配置 RIP 协议 。 


RA>en 


RA#config 七 

RA (config) #router rip -- 在 路 由 器 上 启用 RIP 协议 

RA (config-router) #network 192.168.0.0 

RA (config-router) #network 192.168.1.0 

RA (config-router) #network 192.168.2.0 

RA (config-router) #network 192.168.7.0 
就 这 几 条 命令 就 可 以 了 ， 比 静态 路 由 简单 多 了 。 
在 RA (config-router) # 提 示 符 下 输入 
的 network 命 令 用 于 告诉 此 路 由 选择 协 ae 
议 哪个 有 类 网 络 可 以 进行 通告 。 由 于 路 
由 器 A 连 着 4 个 C 类 网 络 , 要 network 
这 4 个 网 络 。 注 意 ， 我 没有 输入 子 网 ， 
而 只 有 有 类 网 络 地 址 ( 即 所 有 的 子 网 位 
和 主机 位 都 是 0)。 这 样 这 4 个 接口 连 
接 的 网 段 都 能 够 通告 给 其 他 路 由 器 , 同 
时 这 些 接口 也 能 够 接收 其 他 路 由 器 发 


送 过 来 的 RIP 信息 。 2 172.166.0.0724 
思考 :如 图 6-3 所 示 ， 如 果 路 由 器 A 连 SE 
着 以 下 网 络 ，network 应 该 怎样 写 呢 ? 全 图 6 3 网 络 地 址 


路 由 器 A 的 F0 和 Fl 接口 连接 的 网 段 属于 同一 个 B 类 地 址 172.168.0.0, 路 由 器 A 的 S2 
和 S3 接口 连接 的 网 段 是 同一 个 A 类 地 址 12.0.0.0， 因 此 需要 输入 以 下 命令 让 这 4 个 接 
口 参与 到 RIP 的 工作 中 。 


RA (config) #router rip 


RA (config-router) #network 172.168.0.0 

RA (config-router) #network 12.0.0.0 
下 面 的 配置 是 错误 的 ，A 类 地 址 子 网 掩 码 默 认 是 255.0.0.0， 子 网 位 和 主机 位 应 归 0， 
network 后 就 不 能 写成 12.168.0.0。 

RA (config-router) #network 12.168.0.0 
(2) 在 路 由 器 B 上 ， 启 用 和 配置 RIP 协议 。 


RB>en 


RB#config t 


RB (config) #route rip 


RB (config-router) #network 192.168.2.0 

RB (config-router) #network 192.168.3.0 

RB#show ip protocols 一 -显示 配置 的 动态 路 由 协议 

Routing Protocol is "rip" 

Sending updates every 30 seconds, next due in 4 seconds 
Invalid after 180 seconds, hold down 180, flushed after 240 
Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Redistributing: rip 


Default version control: send version 1, receive any version 


Interface Send Recv Triggered RIP Key-chain 
Serial3/0 LL pt 
Serial2/0 了 2 


Rutomatic network summarization is in effect 

Maximum Path: 4 

Routing for Networks : 

192.168.2.0 --RIP 协议 配置 的 network 两 个 网 络 
192.168.3.0 

Passive Interface (s) : 


Routing Information Sources : 


Gateway Distance Last Update 
L92-168=251 120 00:00:10 
Distance: (default is 120) --RIP 协议 默认 管理 距离 


(3) 在 路 由 器 C 上 ， 启 用 和 配置 RIP 协议 。 


RC (config) #router rip 

RC (config-router) #net 192.168.3.0 --network 可 以 简写 为 net 
RC (config-router) #net 192.168.4.0 

RC (config-router) #net 192.168.5.0 


(4) 在 路 由 器 D 上 ， 启 用 和 配置 RIP 协议 。 


RD (config) #router rip 
RD (config-router) #net 192.168.5.0 
RD (config-router) #net 192.168.6.0 


(5) 在 路 由 器 E 上 ， 启 用 和 配置 RIP 协议 。 


RE (config) #router rip 
RE (config-router) #net 192.168.6.0 
RE (config-router) #net 192.168.7.0 


(6) 现在 网 络 中 的 路 由 器 都 已 经 配置 了 RIP 协议， 在 路 由 器 C 上 ， 查 看 路 由 表 。 
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RC#show ip route 


Gateway of last resort is not set 


R 192.168.0.0/24 [120/2] via 192.168.3.1, 00:00:13, Serial2/0 --@ 
R 192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:13, Serial2/0 --®@ 
R 192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:13, Serial2/0 --@®@ 
全 192.168.3.0/24 is directly connected, Serial2/0 --@ 
© 192.168.4.0/24 is directly connected, FastEthernet0/0 --® 
C 192.168.5.0/24 is directly connected, Serial3/0 --@ 
及 192.168.6.0/24 [120/1] via 192.168.5.1, 00:00:03, Serial3/0 --® 
R 192.168.7.0/24 [120/2] via 192.168.3.1, 00:00:13, Serial2/0 --@ 
[120/2] via 192.168.5.1, 00:00:03, Serial3/0 --@ 
R 代表 通过 RIP 协议 学 习 到 的 路 由 。 
C 代表 直 连 的 网 络 。 


注意 看 第 @ 条 和 第 @ 条 路 由 ，[120/2]，120 表示 管理 距离 ，2 代表 度量 值 ， 表 示 到 达 
192.168.0.0/24 和 192.168.1.0/24 网 段 需 要 经 过 两 个 路 由 器 ，via 后 面 的 地 址 是 下 一 跳 转 
发 给 哪个 地 址 。 


看 第 @ 条 和 回 条 路 由 ,这 两 条 路 由 代表 到 达 192.168.7.0/24 网 段 有 两 条 等 价 路 径 。 


(7) 在 路 由 器 A 上 ， 不 让 192.168.0.0/24 网 段 参 与 RIP 协议 。 

RA (config) #route rip 

RA (config-router) #no network 192.168.0.0 -- 取 消 这 个 Cc 类 网 络 参与 RIP 协议 
(8) 在 路 由 器 C 上 ， 查 看 路 由 表 ， 看 看 是 否 还 有 到 192.168.0.0 网 段 的 路 由 。 
RC#clear ip route *: 该 命令 将 会 清空 路 由 器 学 习 到 的 所 有 路 由 ， 稍 等 一 会 儿 就 会 重新 学 
习 到 正确 路 由 


RC#show ip route 


Gateway of last resort is not set 

192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:00, Serial2/0 
192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:00, Serial2/0 
192.168. 
192.168。 


.0/24 is directly connected, Serial2/0 
.0/24 is directly connected, FastEthernet0/0 


192.168. 
192,.168. 


.0/24 [120/1] via 192.168.5.1, 00:00:13, Serial3/0 


A 


2 
2 
4 
192.168.5.0/24 is directly connected, Serial3/0 
6 


.0/24 [120/2] via 192.168.5.1, 00:00:13, Serial3/0 
[120/2] via 192.168.3.1, 00:00:00, Serial2/0 
可 以 看 到 已 经 没有 到 192.168.0.0/24 网 段 的 路 由 了 。 
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(9) 在 PC0 上 ， 跟 踪 数 据 包 到 PC2 的 路 径 。 
PC>tracert 192.168.4.2 


Tracing route to 192.168.4.2 over a maximum of 30 hops: 


2 10 ms 5 ms 192.168.1.1 -路 由 器 A 
2 ns 7 ms 12 ms 92eq1639E252 -路 由 器 BB 
3 12 ms 9ms 11 ms 192.168.3.2 -- 路 由 器 C 
4 18 ms 15 ms 20 ms 192.168.4.2 -PC4 


Trace complete. 
可 以 看 到 这 两 个 网 段 通信 途径 路 由 器 A、B 和 C。 如 图 6-4 所 示 ， 这 是 经 过 路 由 最 少 也 
就 是 跳 数 最 少 的 路 径 ，RIP 协议 认为 这 是 最 佳 路 径 ， 哪 怕 是 A 到 B 和 B 到 C 之 间 连 接 
带宽 是 56Kb/s, A 到 E、E 到 D、D 到 C 之 间 的 连接 带宽 是 1000Mb/s，RIP 协议 也 认为 
A-B-C 是 最 好 的 路 径 。 因 为 RIP 协议 的 度量 值 就 是 跳 数 ， 没 有 考虑 带宽 和 延迟 。 


:BB | ] 
bs 

PC-PT 

2 PC2 


1 192:168.5.0/24 192.168.4.0/24 


192. 168. 6. 0/24 


192. 168. 0. 0/24 


全 图 6-4 RIP 选择 的 最 佳 路 径 
(10) 如 图 6-4 所 示 ， 将 路 由 器 B 的 S3 接口 关闭 ， 模 拟 该 链 路 故障 。 看 看 RIP 协议 是 否 
自动 调整 路 由 表 ， 以 保证 网 络 畅通 。 
RB (config) #interface Serial 3/0 
RB (config-if) #sh -- 关 闭 端口 
(11) 在 PC0 上 跟踪 到 达 PC2 的 数据 包 路 径 。 


PC>tracert 192.168.4.2 


Tracing route to 192.168.4.2 over a maximum of 30 hops: 

1 18 ms 5 ms 6 ms 192.168.1.1 ” -- 路 由 器 A 

2 14ms 14 ms 16 ms 192.168.7.2  -- 路 由 器 EE 

S0020ms 15 ms 25 ms 192.168.6.2  -- 路 由 器 D 

4 39ms 19 ms 25 ms 192.168.5.2  -- 路 由 器 C 

5 25ms 24 ms 57 ms 192.168.4.2 --PC2 
可 以 看 到 ， 如 果 最 佳 路 径 不 可 用 了 ，RIP 协议 会 自动 选择 次 一 点 的 路 径 。 一 旦 最 佳 路 径 
恢复 ， 则 会 自动 选择 最 佳 路 径 。 
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6.2.2 RIPv1 和 RIPv2 


RIPv1 被 提出 较 早 ， 其 中 有 许多 缺陷 。RIPv2 定义 了 一 套 有 效 的 改进 方案 ， 新 的 RIPv2 
路 由 信息 通告 中 包括 子 网 掩 码 信息 ， 所 以 支持 变 长 子 网 ， 关 闭 自 动 汇总 就 支持 不 连续 子 网 ， 
组 播 方式 发 送 路 由 更 新 报 文 , 组 播 地 址 为 224.0.0.9，, 减少 网 络 与 系统 资源 的 消耗 ， 并 提供 了 
验证 机 制 ， 增 强 了 安全 性 。 

下 面 为 大 家 介绍 什么 是 等 长 子 网 、 变 长 子 网 和 不 连续 子 网 。 明 白 了 这 些 ， 也 就 明白 了 什 
么 时 候 用 RIPv1， 什 么 情况 下 必须 用 RIPv2。 

1. 等 长 子 网 

等 长 子 网 就 是 将 一 个 网 络 等 分 成 几 个 网 段 , 每 个 网 段 的 子 网 掩 码 都 一 样 。 如 图 6-5 所 示 ， 
你 有 一 个 C 类 网 络 192.168.0.0/24 地 址 可 用 ， 你 的 网 络 有 5 个 网 段 ， 每 个 网 段 中 计算 机 的 数 
量 最 多 30 个。 如 果 不 考虑 地 址 浪费 ， 你 可 以 将 该 C 类 网 络 等 分 为 8 个 子 网 ， 可 以 拿 出 其 中 
的 任意 五 个 子 网 分 配给 你 的 网 络 。 

网 络 中 的 各 个 子 网 的 子 网 掩 码 都 一 样 ， 为 255.255.255.224， 这 就 是 等 长 子 网 的 划分 。 


将 192.168.0.0/24 等 分 为 8 个 子 网 


192. 168.0.0/27 192. 168. 0. 96/27 192. 188.0. 160/27 


A 图 6-5 等 长 子 网 

RIPv1 支持 等 长 子 网 划分 。 虽然 RIPv1 在 交换 路 由 信息 时 不 包括 子 网 掩 码 信息 ， 但 是 网 
络 中 的 路 由 器 就 以 自己 的 子 网 掩 码 断 定 远程 网 段 的 子 网 掩 码 ， 所 以 它 只 支持 等 长 子 网 。 

2. 变 长 子 网 

如 图 6-6 所 示 ， 网 络 中 还 是 5 个 网 络 ， 其 中 一 个 网 段 需 要 部 署 100 台 计 算 机 ， 一 个 网 段 
需要 部 署 50 台 计 算 机 ， 一 个 网 段 需 要 部 署 30 台 计 算 机 ， 路 由 器 之 间 连 接 只 需要 两 个 IP 地 
址 。 将 一 个 C 类 网 络 192.168.0.0/24 进行 子 网 划分 。 子 网 地 址 范围 和 子 网 掩 码 如 图 中 所 示 ， 
每 个 网 段 的 子 网 掩 码 不 一 样 。 
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100 台 计算 机 
30 台 计算 机 50 台 计算 机 
让 3 PC-PT PC-PT 130 
PC-PT PC1 56 PC2 
Poo 
sc 168.0.64 192. 168.0. 128 
人 255. 255. 255.192 255. 255. 255. 128 


人 A 图 6-6 变 长 子 网 

这 就 是 变 长 子 网 ，RIPv1 不 支持 变 长 子 网 。 你 需要 明确 将 RIP 的 版 本 更 改 为 RIPvV2， 命 
令 如 下 : 

Router (config) #router rip 

Router (config-router) #version 2 

变 长 子 网 对 应 的 实验 为 本 章 6.7.1“ 实 验 1: 配置 RIPv2 支持 变 长 子 网 ”。 

3. 不 连续 子 网 

如 图 6-7 所 示 ,A 区域 是 192.168.0.0/24 这 个 C 类 网 络 划分 的 子 网 ,B 区 域 是 192.168.1.0/24 
这 个 C 类 网 络 划 分 的 子 网 。 这 就 意味 着 192.168.0.0/24 这 个 C 类 网 络 划分 的 子 网 被 另 一 个 C 
类 网 络 隔 开 ， 就 是 不 连续 子 网 。 


192. 168.0. 128 
192.168.0.0 ds sks | 
255. 255. 255. 192 MRS. 


全 图 6-7 不 连续 子 网 
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RIPv2 会 自动 在 类 的 边界 上 汇总 ， 也 就 是 Router0 向 Routerl 通告 路 由 信息 时 ， 直 接 告 
诉 Routerl， 我 知道 192.168.0.0/24 网 段 如 何 转发 。 同 时 Router2 向 Routerl 通告 路 由 信息 时 ， 
直接 告诉 Routerl ， 我 知道 192.168.0.0/24 网 段 如 何 转发 。Routerl 就 会 认为 到 192.168.0.0/24 
有 两 条 可 用 的 路 径 。 很 显然 这 是 错误 的 。 

要 想 让 RIPv2 支持 不 连续 子 网 ， 必 须 关 闭 自动 汇总 。 关 闭 自 动 汇总 的 命令 如 下 : 


Router (config) #router rip 


Router (config-router) #version 2 


Router (config-router) #no auto-summary 


不 连续 子 网 对 应 的 实验 为 本 章 6.7.2 小 节 “ 实 验 2: 配置 RIPv2 支持 不 连续 子 网 ”。 


区 到 玉 EIGRP 协议 


增强 型 内 部 网 关 路 由 选择 协议 EIGRP (Enhanced Interior Gateway Routing Protocol) 是 
Cisco 的 一 个 专用 协议 , 它 可 以 运行 在 Cisco 路 由 器 上 。 如 果 你 的 网 络 中 有 Cisco 和 华为 两 个 
厂商 的 路 由 器 ， 你 就 不 能 使 用 EIGRP 协议 。 由 于 EIGRP 是 目前 两 个 最 为 流行 的 路 由 选择 协 
议 之 一 ， 因 此 ， 理 解 它 对 你 来 说 是 非常 重要 的 。 

EIGRP 是 内 部 网 关 路 由 选择 协议 IGRP (Interior Gateway Routing Protocol) 的 增强 版 ， 
它们 的 关系 类 似 于 RIPv2 和 RIPv1。EIGRP 支持 变 长 子 网 , 关闭 路 由 汇总 后 支持 不 连续 子 网 。 

EIGRP 的 特点 如 下 。 

， ”使 用 Hello 消息 发 现 邻 居 ， 然 后 交换 路 由 信息 ， 使 用 Hello 包 维 持 邻 居 表 。 


， ”有 备用 


路 径 。 


当 最 佳 路 径 不 可 用 时 ， 立 即使 用 备用 路 径 。 


， ”度量 值 默 认为 带宽 和 延迟 ， 也 可 以 添加 负载 、 可 靠 性 以 及 最 大 传输 单元 (MTU) 。 
" ”默认 支持 4 条 链 路 的 不 等 代价 的 负载 均衡 ， 可 以 更 改 为 最 多 6 条。 

= ”最 大 跳 数 为 255 (默认 是 100 跳 ) 。 

" ”触发 式 更 新 路 由 表 ， 即 网 络 发 生变 化 时 ， 增 量 更 新 。 


”支持 路 由 


的 自动 汇总 。 


”支持 大 的 网 络 ,可 以 使 用 自制 系统 号 来 区 别 可 共享 路 由 信息 的 路 由 器 集合 , 路 由 信 
息 只 可 以 在 拥有 相同 自制 系统 号 的 路 由 器 间 共 享 。 

”管理 距离 是 90。 

EIGRP 支持 邻居 ， 这 些 邻 居 是 通过 Hello 过 程 来 发 现 的 ， 并 且 邻 居 状 态 是 要 受 监视 的 ， 

像 许多 距离 矢量 协议 一 样 ， 大 部 分 路 由 器 是 绝 不 会 了 解 到 第 一 手 路 由 更 新 的 。 

EIGRP 使 用 了 一 系列 的 表 来 保存 这 些 关于 环境 的 重要 信息 。 

" ”邻居 关系 表 : 邻居 关系 表 (通常 又 称 为 邻居 表 ) 记录 着 有 关 路 由 器 与 已 建立 起 来 的 
邻居 关系 的 信息 。 

" ”拓扑 表 : 拓扑 表 保 存 着 在 互联 网 络 中 每 个 路 由 器 从 每 个 邻居 处 接收 到 的 路 由 通告 。 


= 路 上 


表 : 路 上 


表 保 存 着 当前 使 用 着 的 用 于 路 由 判断 的 路 由 。 
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6.3.1 EIGRP 的 配置 过 程 


下 面 将 会 以 实例 演示 EIGRP 配置 的 过 程 ， 会 讲解 过 程 中 使 用 的 参数 。 

打开 随 书 光盘 中 第 6 章 练习 “02 动态 路 由 EIGRPpkt”， 网 络 拓扑 和 IP 地 址 规划 如 图 
6-8 所 示 , 网 络 中 的 路 由 器 和 IP 地 址 已 经 配置 好 。Router0 和 Router3 之 间 使 用 快速 以 太 网 接 
口 连 接 。 

注意 观察 IP 地 址 , 其 中 Al 和 A2 区 域 是 192.168.0.0/24 C 类 网 络 划分 的 子 网 , 中 间 的 B 
区 域 是 192.168.1.0/24 C 类 网 络 。 对 于 192.168.0.0/24 划分 的 子 网 就 是 不 连续 子 网 。EIGRP 
协议 会 在 IP 地 址 类 边界 自动 汇总 。 本 实验 需要 关闭 EIGRP 的 自动 汇总 来 支持 不 连续 子 网 ， 
然后 配置 EIGRP 的 手动 汇总 。 


Router-PT 
Routerl 


pco Switcho 
2 192.168.0.0 
255. 255. 255. 192 


EE,. 
2950T-24 FE 
Switch2 pC2 
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Router-PT 255. 255. 255 .此 
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192. 168.0. 128 
255. 255. 255. 192 


mg 2950T-24 
Switchl 
192. 168.0.64 
255. 255. 255. 192 


Al 


B A2 
全 图 6-8 网 络 拓扑 

下 面 的 步骤 将 会 演示 在 这 个 网 络 中 配置 路 由 器 使 用 EIGRP 协议 交换 路 由 信息 ， 查 看 路 

由 表 


操作 步骤 如 下 。 

(1) 在 Router0 上 ， 启 用 和 配置 EIGRP。 

Router>en 

Router#config 七 

Router (config) #router eigrp 10  -- 这 里 的 10 是 自制 系统 编号 

Router (config-router) #network 192.168.0.0 

Router (config-router) #network 192.168.1.0 

这 里 的 10 是 自制 系统 编号 , 本 实验 的 所 有 路 由 器 EIGRP 自制 系统 编号 都 是 10, 当然 你 
也 可 以 给 其 他 的 自制 系统 编号 。 不 一 样 的 自制 系统 不 能 交换 路 由 信息 和 Hello 数据 包 。 
后 面 的 network 的 配置 和 RIP 一 样 ， 是 告诉 路 由 器 哪些 端口 连接 的 网 段 能 够 被 EIGRP 
协议 通告 出 去 。 

(2) 在 Routerl 上 ， 启 用 和 配置 EIGRP。 

Router (config) #router eigrp 10 

Router (config-router) #network 192.168.1.0 


SDUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 192.168.1.1 (Serial3/0) is up: new 
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adjacency 
发 现 邻 居 。 
(3) 在 Router2 上 ， 启 用 和 配置 EIGRP。 
Router (config) #router eigrp 10 
Router (config-router) #network 192.168.0.0 
Router (config-router) #network 192.168.1.0 
(4) 在 Router3 上 ， 启 用 和 配置 EIGRP。 
Router (config) #router eigrp 10 
Router (config-router) #network 192.168.1.0 
(5) 在 Router0 上 ， 查 看 路 由 表 。 


Router#show ip route 


Gateway of last resort is not set 


192.168.0.0/24 is variably subnetted, 3 subnets, 2 masks 


D 192.168.0.0/24 is a summary，03:35:59，Nul10 ”-- 在 类 的 边界 汇总 
[ 192.168.0.0/26 is directly connected, FastEthernet0/0 
吧 192.168.0.64/26 is directly connected, FastEthernet1/0 


192.168.1.0/24 is variably subnetted, 5 subnets, 2 masks 
192.168.1.0/24 is a summary, 00:40:31, Null0 =-- 在 类 的 边界 汇总 
192.168.1.0/30 is directly connected, Serial2/0 


192.168.1.8/30 is directly connected, FastEthernet6/0 
192.168.1.12/30 [90/20514560] via 192.168.1.10, 00:40:30, 
FastEthernet6/0 


= | 


在 上 面 显示 的 路 由 表 中 ，D 开头 的 路 由 标明 其 是 通过 EIGRP 协议 构造 的 路 由 。 可 以 看 


到 ， 没 有 192.168.0.128/26 这 个 子 网 ， 因 为 EIGRP 协议 默认 在 类 的 边界 自动 汇总 。 
(6) 在 Routerl 上 ， 查 看 路 由 表 。 


Router#show ip route 


Gateway of last resort is not set 


D 192.168.0.0/24 [90/20514560] via 192.168.1.1, 03:29:22, Serial3/0 


[90/20514560] via 192.168.1.6, 00:49:46, Serial2/0 
192.168.1.0/30 is subnetted, 4 subnets 


必 192.168.1.0 is directly connected, Serial3/0 
C 192.168.1.4 is directly connected, Serial2/0 
D 192.168.1.8 [90/20514560] via 192.168.1.1, 00:40:18, Serial3/0 
D 192.168.1.12 [90/21024000] via 192.168.1.6, 00:49:46, Serial2/0 


可 以 看 到 ， 在 Routerl 上 构造 的 路 由 表 ， 到 192.168.0.0/24 网 络 有 两 条 路 径 。 很 显然 这 


种 汇总 是 错误 的 。 


192.168.1.4/30 [90/21024000] via 192.168.1.2, 03:29:35, Serial2/0 


下 面 将 演示 关闭 自动 汇总 。 
6.3.2 关闭 EIGRP 的 自动 汇总 


关闭 EIGRP 协议 的 自动 汇总 ， 能 够 使 之 支持 不 连续 子 网 。 
在 所 有 的 路 由 器 上 运行 以 下 命令 关闭 EIGRP 的 自动 汇总 。 
Router (config) #router eigrp 10 


Router (config-router) #no auto-summary 


6.3.3 查看 EIGRP 的 配置 和 路 由 表 


在 Routerl 上 , 查看 EIGRP 协议 的 配置 , 查看 关闭 自动 汇总 后 的 路 由 表 , 如 图 6-9 所 示 。 
Router#show ip route -- 查 看 关闭 自动 汇总 后 的 路 由 表 


Router#show ip route 
Gateway of last resort is not set 
三 个 9 为 
192.168.0.0/26 is subnetted，3 subnets 三 个 了 网 的 子 网 掩 码 为 /26 


D 192.168.0.0 [90/20514560] via 192.168.1.1, 00:00:15, serial3/0 
D 192.168.0.64 [90/20514560] via 192.168.1.1, 00:00:15, Serial3/0 
D 192.168.0.128 [90/20514560] via 192.168.1.6, 00:00:16, Serial2/0 
192.168.1.0/30 is subnetted, 4 subnets 

C 192.168.1.0 is directly connected, Serial3/0 

本 192.168.1.4 is directly connected, Serial2/0 

D 192.168.1.8 [90/20514560] via 192.168.1.1, 00:00:15, Serial3/0 
D 192.168.1.12 [90/21024000] via 192.168.1.6, 00:00:16, Serial2/0 


全 图 6-9 EIGRP 学 习 到 的 路 由 
现在 能 够 看 到 路 由 表 中 出 现 了 网 络 中 到 所 有 网 段 的 路 由 。 注 意 ， 中 括号 中 ，90 代表 管 
理 距离 ， 后 面 的 值 是 度量 值 ， 该 度量 值 是 带宽 和 延迟 两 个 指标 算出 来 的 。 


6.3.4 ”EIGRP 手动 汇总 


本 实验 的 网 络 中 , Al 区 域 的 两 个 子 网 192.168.0.0/26 和 192.168.0.64/26 可 以 汇总 成 一 条 
路 由 192.168.0.0/25。 可 以 在 Router0 的 S2/0 和 F6/0 进行 汇总 ， 如 图 6-10 所 示 。 
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全 图 6-10 网 络 拓扑 
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(1) 在 Router0 上 ， 手 动 汇总 。 

Router (config) #interface Serial 2/0 

Router (config-if) #ip summary-address eigrp 10 192.168.0.0 255.255.255.128 
Router (config-if) #ex 

Router (config) #interface fastEthernet 6/0 

Router (config-if) #ip summary-address eigrp 10 192.168.0.0 255.255.255.128 
(2) 在 Routerl 上 ， 查 看 汇总 的 结果 ， 如 图 6-11 所 示 。 


Router#show ip route 


Router#show ip route 


Gateway of last resort is not set 可 以 看 到 将 Al 区 域 中 的 两 个 子 网 汇总 为 一 条 路 由 
192.168.0.0/24 is variably subnetted, 2 subnets，2 masks 


D 192.168.0.0/25 [90/20514560] via 192.168.1.1, 00:01:25, Serial3/0 

D 192.168.0.128/26 [90/20514560] via 192.168.1.6, 00:12:36, Serial2/0 
152.165.1.0730 is subnetted, 4 subnets 

c 192.168.1.0 is directly connected, Serial3/0 

c 192.168.1.4 is directly connected, Serial2/0 

D 192.168.1.8 [90/20514560] via 192.168.1.1, 00:01:25, Serial3/0 

D 192.168.1.12 [90/21024000] via 192.168.1.6, 00:12:36, Serial2/0 


A 图 6-11 汇总 结果 
6.3.5 确认 EIGRP 选择 的 最 佳 路 径 


在 PC0 上 跟踪 到 PC2 的 数据 包 传递 路 径 。 
PC>tracert 192.168.0.130 


Tracing route to 192.168.0.130 over a maximum of 30 hops: 


3 ms 12 ms 8 ms L9216830.1 --Router0 
2 20ms 15 ms 17 ms 192.168.1.10 --Router3 
3 .25 m8 15 ms 17 ms L920031014 --Router2 
4 28 ms 21 ms 26 ms 192.168.0.130 -=pC2 


Trace complete. 

如 图 6-12 所 示 ， 根 据 数 据 包 跟踪 结果 可 知 ，EIGRP 协议 在 192.168.0.0/26 网 段 到 
192.168.0.128/26 网 段 的 最 佳 路 径 是 四， 路 径 @ 是 备用 路 径 。 

下 面 讲 解 如 何 查看 EIGRP 的 备用 路 径 。 


192.168.1.0 (C) 192. 168.1.4 


2 写 255. 255. 252 
PC-PT Router-PT 
PC a Routerl 


0 
2 192.168.0.0 


14 mg 
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66 192.168.0.64 
255. 255. 255. 192 


从 图 6-12 备用 路 径 
226 


6.3.6 ”查看 EIGRP 的 备用 路 径 


使 用 show ip eigrp topology 命令 可 以 查看 备用 路 径 。 以 下 命令 在 Router0 上 运行 。 


Router#show ip eigrp topology 


IP-EIGRP Topology Table for AS 10 


Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, 


r -~ Reply status 
P 192.168.0.0/26, 1 successors, FD is 28160 


via Connected, FastEthernet0/0 


P 192.168.0.64/26, 1 successors, FD is 28160 


Via Connected, FastEthernet1/0 


P 192.168.1.0/30, 1 successors, FD is 20512000 


via Connected, Serial2/0 
P 192.168.1.4/30, 1 successors, FD is 21024000 

via 192.168.1.2 (21024000/20512000) ，Serial2/0 
P 192.168.1.12/30, 1 successors, FD is 20514560 

via 192.168.1.10 (20514560/20512000) ,， FastEthernet6/0 
P 192.168.1.8/30, 1 successors, FD is 28160 


via Connected, FastEthernet6/0 
P 192.168.0.128/26，1 successors，FD is 20517120  -- 到 该 网 段 有 一 个 最 佳 路 径 
via 192.168.1.10 (20517120/20514560) ,， FastEthernet6/0 


-- 该 路 径 是 最 佳 路 径 


via 192.168.1.2 (21026560/20514560) ，Serial2/0 -- 该 路 径 是 备用 路 径 


每 个 路 由 前 面 都 有 一 个 P， 这 表明 此 路 由 处 于 被 动 状态 。 这 是 一 件 好 事情 ， 因 为 
激活 状态 (A ) 的 路 由 ， 指 示 该 路 由 器 已 经 失去 了 它 到 这 个 网 络 的 路 径 ， 并 且 正 


在 搜索 替代 路 径 。 每 个 表 项 也 标识 了 到 远程 网 络 加 上 下 一 跳 邻居 可 行 的 距离 ， 
这 个 下 一 跳 邻 居 是 指数 据 包 将 通过 它 被 传输 到 目标 网 络 。 这 里 说 的 距离 是 带宽 


和 延迟 两 个 指标 算出 来 的 度量 值 ， 该 值 越 小 ， 距 离 越 短 。 


在 圆 括号 中 ， 每 个 表 项 还 有 两 个 数值 ， 第 一 个 数值 指示 可 行距 离 ， 而 第 二 个 是 到 达 远 程 
网 络 的 通告 距离 。 如 图 6-13 所 示 ，Routerl 通告 Router0， 它 到 192.168.0.128/26 网 段 的 距离 
是 20514560， 这 就 是 通告 距离 ，Router0 计算 到 达 该 网 络 的 距离 需要 在 通告 距离 的 基础 上 加 
上 它 到 Routerl 的 距离 ， 这 就 是 可 行距 离 。 虽 然 Routerl 和 Router3 通告 给 Router0 的 距离 相 


同 , 但 是 由 于 Router0 到 
Routerl 成 为 可 行 的 继任 


被 复制 并 放 入 到 路 


Router3 之 间 是 以 太 网 连接 ， 距离 短 ， 因 此 Router3 成 为 继任 者 ， 而 
者 (备份 路 由 )。 但 只 有 一 个 继任 路 由 (那个 具有 最 低 度量 的 ) 将 会 


表 中 


a 
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全 图 6-13 可 行距 离 和 通告 距离 示意 图 


6.3.7 查看 EIGRP 邻居 


在 任何 路 由 上 ， 运 行 以 下 命令 可 以 查看 EIGRP 的 邻居 。 


Router#show ip eigrp neighbors 


IP-EIGRP neighbors for process 10 
H Address Interface Hold Uptime SRTT RTO Q Seq 
(sec) (ms) Cnt Num 
0 192.160512.30 Fa6/0 10 02:02:28 40 1000 0 85 
2 00 人 Se2/0 13 02:02:28 40 1000 0 76 
以 上 命令 可 以 显示 EIGRP 的 邻居 ， 如 果 你 发 现 邻 居 缺 少 ， 就 应 该 检查 相 邻 的 路 由 器 是 
和 否 正 确 配 置 了 EIGRP、 自 制 系统 编号 是 否 相 同 、 是 否 正确 地 配置 了 network。 


6.3.8 显示 EIGRP 协议 活动 


debug eigrp packets 可 以 显示 出 在 两 台 相 邻 路 由 器 间 所 发 送 的 Hello 数据 包 。 
Router#debug eigrp Packets 
EIGRP: Sending HELLO on FastEthernet0/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on FastEthernet6/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on Serial2/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Received HELLO on Serial2/0 nbr 192.168.1.2 
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RS 10, Flags 0x0, Seq 77/0 idbQ 0/0 
EIGRP: Sending HELLO on FastEthernet1/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
Router#undebug all -关闭 诊断 输出 ， 也 可 输入 un al1 关闭 诊断 输出 
Hello 数据 包 会 送 到 每 个 激活 的 接口 上 ， 也 就 是 那些 有 邻居 相连 接 的 接口 ， 并 由 这 些 接 
口 送出 。 你 是 否 注 意 到 在 这 个 更 新 中 提供 的 AS 号 ? 要 知道 ， 如 果 某 个 邻居 没有 相同 的 AS 
号 ， 它 所 发 出 的 Hello 更 新 将 会 被 丢弃 。 
Router #debug ip eigrp notification 
在 平时 这 个 命令 的 输出 根本 不 能 告诉 你 任何 有 价值 的 事情 ! 只 有 当 你 的 网 络 出 现 问题 
时 ， 或 者 在 你 的 互联 网 络 中 从 某 台 路 由 器 上 添加 或 删除 了 一 个 网 络 时 ， 它 才 是 有 价值 的 。 该 
命令 在 packet tracer 软件 中 没有 提供 。 


6.3.9 更改 EIGRP 的 默认 设置 


默认 时 ，EIGRP 支持 最 多 4 条 链 路 的 不 等 价 路 径 的 负载 均衡 ， 通 过 以 下 命令 可 以 使 
EIGRP 支持 6 条 等 价 或 不 等 价 负载 均衡 链 路 。 默 认 最 大 跳 数 100, 可 以 被 设置 到 255。Packet 
Tracer 软件 模拟 的 路 由 器 不 支持 以 下 命令 。 

Router (config) #router eigrp 10 

Router (config-router) #maximum-path ? 

<1-6> Number of paths 

Router (config-router) #metric maximum-hops ? 

<1-255> Hop Count 

EIGRP 的 课 后 实验 为 本 章 6.7.3 小 节 “ 实 验 3: 配置 EIGRP 手动 汇总 ”。 


64 OSPF 协议 


开放 最 短路 径 优 先 OSPF (Open Shortest Path First) 是 一 个 开放 标准 的 路 由 选择 协议 ， 
它 被 各 种 网 络 开发 商 所 广泛 使 用 ， 其 中 包括 Cisco。 如 果 你 的 网 络 拥有 多 种 路 由 器 ， 而 并 
不 全 都 是 Cisco 的 ， 那 么 你 将 不 能 使 用 EIGRP， 那 你 可 以 用 什么 呢 ? 基本 上 剩 下 的 也 只 有 
RIPv1、RIPv2 或 OSPF。 如果 你 的 网 络 是 一 个 大 型 网 络 , 那么 你 真正 的 选择 就 只 能 是 OSPF 
和 被 称 为 路 由 再 发 布 的 服务 了 ， 即 能 在 路 由 选择 协议 之 间 提 供 转换 的 服务 。 

OSPF 是 通过 使 用 Dijkstra 算法 来 工作 的 。 首 先 ， 构 建 一 个 最 短路 径 树 ， 然 后 使 用 最 佳 
路 径 的 计算 结果 来 组 建 路 由 表 。OSPF 汇聚 很 快 ， 虽 然 它 可 能 没有 EIGRP 快 ， 并 且 它 也 支持 
到 达 相 同 目标 的 多 个 等 开销 路 由 ， 但 与 EIGRP 一 样 ， 它 支持 IP 和 IPv6。 

OSPF 协议 具有 下 列 特性 。 

。 区 域 和 自治 系统 组 成 。 

" ”最 小 化 的 路 由 更 新 的 流量 。 
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6.4.1 


允许 可 缩放 性 。 

支持 变 VLSM 和 CIDR。 

拥有 不 受 限 的 跳 数 。 

允许 多 销售 商 的 设备 集成 《开放 的 标准 ) 。 


度量 值 是 带宽 。 


OSPF 相关 术语 


在 学 习 OSPF 之 前 ， 先 要 介绍 一 下 与 之 相关 的 术语 。 


链 路 : 链 路 就 是 指定 给 任 一 给 定 网 络 的 一 个 网 络 或 路 由 器 接口 。 当 一 个 接口 被 加 入 
到 该 OSPF 的 处 理 中 时 ， 它 就 被 OSPF 认为 是 一 个 链 路 。 这 个 链 路 或 接口 ， 将 有 一 
个 指定 给 它 的 状态 信息 〈up 或 down， 即 激活 或 失效 ) ， 以 及 一 个 或 多 个 IP 址 。 
路 由 器 ID: 路 由 器 ID (CRID) 是 一 个 用 来 标识 此 路 由 器 的 IP 地 址 。Cisco 通过 使 
用 所 有 被 配置 的 环 回 接口 中 最 高 的 IP 地址， 来 指定 此 路 由 器 ID。 如 果 没 有 带 有 地 
址 的 环 回 接口 被 配置 ,OSPF 将 选择 所 有 激活 的 物理 接口 中 最 高 的 IP 地 址 为 其 RID。 
邻居 : 邻居 可 以 是 两 台 或 更 多 的 路 由 器 , 这 些 路 由 器 都 有 某 个 接口 连接 到 一 个 公共 
的 网 络 上 ， 如 两 台 连 接 在 一 个 点 到 点 串 行 链 路 上 的 路 由 器 。 

邻接 : 邻接 是 两 台 OSPF 路 由 器 之 间 的 关系 , 这 两 台 路 由 器 允许 直接 交换 路 由 更 新 
数据 。OSPF 对 于 共享 的 路 由 选择 信息 是 非常 讲究 的 , 不 像 EIGRP 那样 直接 地 与 自 
己 所 有 的 邻居 共享 路 由 信息 .OSPF 只 与 建立 了 邻接 关系 的 邻居 直接 共享 路 由 信息 ， 
并 不 是 所 有 的 邻居 都 可 以 成 为 邻接 ， 这 将 取决 于 网 络 的 类 型 和 路 由 器 上 的 配置 。 
Hello 协议 : OSPF 的 Hello 协议 可 以 动态 地 发 现 邻居 ， 并 维护 邻居 关系 。Hello 数 
据 包 和 链 路 状态 通告 (LSA) 建立 并 维护 着 拓扑 数据 库 。Hello 数据 包 的 地 址 是 
224.0.0.5。 

邻居 关系 数据 库 : 邻居 关系 数据 库 是 一 个 OSPF 路 由 器 的 列表 , 这 些 路 由 器 的 Hello 
数据 包 是 可 以 被 相互 看 见 的 。 每 台 路 由 器 上 的 邻居 关系 数据 库 管理 着 各 种 详细 资 
料 ， 如 路 由 器 ID 和 状态 。 

拓扑 数据 库 : 拓扑 数据 库 中 包含 来 自 所 有 从 某 个 区 域 接收 到 的 链 路 状态 通告 信息 。 
路 由 器 使 用 这 些 来 自 拓扑 数据 库 中 的 信息 作为 Dijkstra 算法 的 输入 ， 并 为 每 个 网 络 
计算 出 最 短路 径 。 

链 路 状态 通告 : 链 路 状态 通告 (LSA) 是 一 个 OSPF 的 数据 包 ， 它 包含 在 OSPF 路 
由 器 中 共享 的 链 路 状态 和 路 由 信息 。 有 多 种 不 同类 型 的 LSA 数据 包 。OSPF 路 由 器 
将 只 与 建立 了 邻接 关系 的 路 由 器 交换 LSA 数据 包 。 

指定 路 由 器 : 无 论 什么 时 候 , 当 OSPF 路 由 器 被 连接 到 相同 的 多 路 访问 型 的 网 络 时 ， 
都 需要 选择 一 台 指定 路 由 器 (DR) 。Cisco 喜欢 将 这 些 网 络 称 为 “广播 ” 网 络 ， 
这 些 网 络 上 拥有 多 个 接收 者 。 不 要 将 多 路 访问 与 多 连接 点 混淆 , 有 时 它们 是 不 易 被 
区 分 开 的 。 


一 个 典型 的 示例 是 以 太 型 LAN。 为 了 最 小 化 所 需 构成 的 邻接 数量 ， 被 选择 挑选 ) 的 
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动态 路 由 “和 


DR 将 负责 分 发 、 收 集 路 由 选择 信息 到 来 自 此 广播 网 络 或 链 路 中 的 其 他 路 由 器 上 。 这 就 

确保 了 所 有 路 由 器 上 的 拓扑 表 是 同步 的 。 这 个 共享 网 络 中 的 所 有 路 由 器 都 将 与 DR 和 备 

用 指定 路 由 器 (BDR) 建立 邻接 关系 。 具 有 高 优先 级 的 路 由 器 将 胜出 ， 成 为 DR， 当 具 

有 较 高 优先 级 的 路 由 器 都 退出 时 ， 路 由 器 的 ID 将 打破 平局 的 条 件 ， 即 在 具有 相同 优先 

级 的 路 由 器 中 选择 DR 时 ， 拥 有 最 高 路 由 器 ID 的 路 由 器 将 被 选中 。 

”备用 指定 路 由 器 : 备用 指定 路 由 器 (BDR ) 是 多 路 访问 链 路 〈 记 住 ，Cisco 有 时 喜 
欢 称 之 为 “广播 ”网 络 ) 上 跃跃欲试 的 待命 DR。BDR 将 从 OSPF 邻接 路 由 器 上 接 
收 所 有 的 路 由 更 新 ， 但 并 不 随便 转发 这 些 LSA 更 新 。 

" ”OSPF 区 域 : 一 个 OSPF 区 域 是 一 组 相 邻 的 网 络 和 路 由 器 。 在 同一 区 域内 的 路 由 器 
共享 一 个 公共 的 区 域 ID。 由 于 路 由 器 可 以 同时 是 多 个 区 域 中 的 成 员 ， 因 此 区 域 ID 
被 指定 给 此 路 由 器 上 特定 的 接口 。 这 样 ， 路 由 器 上 的 某 些 接口 可 能 属于 区 域 1， 而 
剩 下 的 接口 则 可 能 属于 区 域 0。 所 有 在 同一 区 域 中 的 路 由 器 拥有 相同 的 拓扑 表 。 在 
配置 OSPF 时 需要 记 住 ， 必 须 使 用 区 域 0， 在 连接 到 网 络 主干 的 路 由 器 上 时 ， 它 通 
常 是 要 被 配置 的 。 区域 在 建立 一 个 分 级 的 网 络 组 织 中 扮演 着 重要 的 角色 , 它 真正 强 
化 了 OSPF 的 可 缩放 性 。 

"广播 (多 路 访问 ) : 广播 (多 路 访问 ) 网 络 就 像 以 太 网 ， 它 允许 多 台 设 备 连 接 (或 
者 是 访问 ) 到 同一 个 网 络 , 它 是 通过 投递 单一 数据 包 到 网 络 中 所 有 的 结 点 来 提供 广 
播 能 力 的 。 在 OSPF 中 ， 每 个 广播 〈 多 路 访问 ) 网 络 都 必须 选 出 一 个 DR 和 一 个 
BDR。 

， ， 非 广播 的 多 路 访问 : 非 广播 的 多 路 访问 (NBMA) 网 络 是 那些 像 帧 中 继 、X.25 和 
异步 传输 模式 〈ATM) 类 型 的 网 络 。 这 些 网 络 允 许多 路 访问 ， 但 不 拥有 如 以 太 网 
那样 的 广 揪 能力。 因此， 为 实现 恰当 的 功能 ，NBMA 网 络 需 要 特殊 的 OSPF 配置 ， 
并 且 必 须 详细 定义 邻居 关系 。 

"点 到 点 : 点 到 点 被 定义 为 一 种 包含 两 台 路 由 器 间 直 接连 接 的 网 络 拓扑 类 型 , 这 一 连 
接 为 路 由 器 提供 了 单一 的 通信 路 径 。 点 到 点 连接 可 能 是 物理 的 , 比如 直接 连接 两 台 
路 由 器 的 串 行 电缆 ; 它 也 可 以 是 逻辑 的 , 如 通过 帧 中 继 网 络 电 路 在 两 台 相 隔 上 千 英 
里 的 路 由 器 间 形 成 的 连接 。 无 论 怎样 ， 这 种 类 型 的 配置 排除 了 对 DR 或 BDR 的 需 
求 ， 并 且 它 们 邻居 关系 的 发 现 也 是 自动 完成 的 。 

= ”点 到 多 点 : 点 到 多 点 也 被 定义 为 是 一 种 网 络 的 拓扑 类 型 , 这 种 拓扑 包含 有 路 由 器 上 
的 某 个 单一 接口 与 多 个 目的 路 由 器 间 的 一 系列 连接 。 这里, 所 有 路 由 器 的 所 有 接口 
都 共享 这 个 属于 同一 网 络 的 点 到 多 点 的 连接 。 与 点 到 点 一 样 ， 这 里 不 需要 DR 或 
BDR。 

在 理解 OSPF 的 操作 过 程 时 ， 所 有 这 些 术 语 都 扮演 着 一 个 重要 的 角色 。 因 此 ， 需 要 再 一 

次 确信 你 已 经 非常 熟悉 它们 当中 的 每 一 个 。 仔 细 阅 读本 章 的 后 续 内 容 ,， 将 会 帮助 你 在 恰当 的 
上 下 文中 找 出 这 些 术 语 的 位 置 。 


6.4.2 支持 多 区 域 


OSPF 是 一 个 快速 的 、 可 缩放 的 和 高 效能 的 协议 ， 进 而 可 以 被 应 用 在 有 数 以 千 计 的 路 由 
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设备 的 大 规模 网 络 中 。OSPF 设计 用 于 分 层 的 结构 中 ， 使 用 OSPF 可 以 将 大 型 互联 网 络 分 割 
成 一 些小 的 被 称 为 区 域 的 小 互联 网 络 ， 这 是 OSPF 协议 设计 中 的 精华 。 

将 OSPF 协议 创建 为 层次 结构 的 原因 如 下 。 

" ”减少 路 由 选择 的 开销 。 

" ”加 速 汇聚 。 

" ”用 单一 的 网 络 区 域 来 缩小 网 络 的 不 稳定 性 。 

如 图 6-14 所 示 , 河北 省 分 配 的 地 址 段 为 40.2.0.0/16, 河南 省 分 配 的 地 址 段 为 40.1.0.0/16， 
国家 主干 网 分 配 的 地 址 段 为 40.0.0.0/116。 国 家 主干 网 作为 OSPF 的 area 0， 可 以 将 一 个 省 作 
为 一 个 OSPF 区 域 ， 这 些 区 域 和 area 0 相连 。 


40. 0.0.5/30 


40. 0. 0.2/30 


地 区 边界 路 由 器 40. 0. 0. 6/30 


40.0.0.1/30 40.0.0.0116 


40105730 一 一 一 40.2.0.2/30 B 40.2.0.9/30 
40. 2. 0. 5/30 


40. 2. 0.1/30 40. 2. 0. 6/30 40. 2. 0. 10/30 


保定 
40.2.3.0/2， 


家 庄 秦皇岛 
40.2.2.0/24 


40.1.2.0/24 


40.1.0.0/16 河南 
areal 


40.2.0.0116 河北 
area2 


自治 系统 


全 图 6-14 0SPF 多 区 域 与 地 址 规划 

路 由 器 B 可 以 将 area 1 的 网 络 汇总 成 一 条 通告 给 area 0， 路 由 器 C 可 以 将 area 2 的 网 络 
汇总 成 一 条 通告 给 area 0。 比 如 保定 网 络 的 某 个 接口 up 或 down 只 会 引起 area 2 网 络 中 的 路 
由 器 交换 链 路 状态 ， 重 新 计算 路 由 表 ; 对 area 0 和 area 1 中 的 网 络 没 有 任何 影响 。 这 样 就 将 
网 络 的 不 稳定 造成 的 影响 ， 控 制 在 一 个 area。 
图 6-14 给 出 了 典型 的 OSPF 简易 设计 。 注 意 每 台 路 由 器 是 如 何 连 接 到 主干 网 上 的 ， 此 主 
干 网 被 称 为 区 域 0， 或 主干 区 域 。OSPEF 协议 必须 要 有 一 个 区 域 0。 而 且 如 果 可 能 ， 所 有 的 路 
由 器 都 应 该 连接 到 这 个 区 域 (那些 没有 直接 连接 到 区 域 0 的 区 域 可 以 通过 使 用 虚拟 链 路 进行 
连接 ， 但 这 一 部 分 内 容 超出 本 书 的 范畴 )。 而 那些 在 一 个 AS 内 部 连接 其 他 区 域 到 此 主干 网 的 
路 由 器 ， 被 称 为 区 域 边界 路 由 器 (ABR)。 这 些 路 由 器 至 少 有 一 个 接口 必须 在 区 域 0 中 。 


6.4.3 OSPF 的 network 参数 


与 RIP 和 EIGRP 一 样 ， 在 启用 了 OSPF 协议 后 ， 同 样 需要 使 用 network 命令 标识 OSPF 
将 操作 的 接口 。 但 是 与 RIP 和 EIGRP 不 同 ， 后 面 需 要 指明 通配符 掩 码 和 OSPF 区 域 。 
如 图 6-15 所 示 ，Router0、Routerl 和 Router2 都 属于 area 0。 


area 0 
192. 168.2.0724 


1g2. 168.0.0/24 192. 168. 1.0/24 


A 图 6-15 网 络 拓扑 
在 Routerl 上 配置 OSPF 的 命令 如 下 。 
Router1l (config) #router ospf 1 ， -- 后 面 的 值 是 进程 TD， 可 以 是 1 一 65535 之 间 任 何 值 
Routerl (config-router) #network 192.168.1.0 0.0.0.255 area 0 


Routerl (config-router) #network 192.168.2.0 0.0.0.255 area 0 

network 命令 的 参数 是 网 络 号 〈192.168.1.0) 和 通配符 掩 码 (0.0.0.255)， 这 两 个 数字 的 
组 合用 于 标识 OSPF 将 操作 的 接口 ， 并 且 它 也 将 被 包含 在 其 OSPF LSA 的 通告 中 。OSPF 将 
使 用 这 个 命令 来 找 出 包括 在 192.168.1.0/24 网 络 中 的 任何 地 址 ， 它 将 会 把 找到 的 接口 放置 到 
area0 中 。 

在 通配符 手 码 中 , 值 为 0 的 八 位 位 组 表示 网 络 地 址 中 相应 的 八 位 位 组 必须 严格 匹配 , 255 
则 表示 不 必 关 心 网 络 地 址 中 相应 的 八 位 位 组 的 匹配 情况 。 如 network 192.168.1.2 0.0.0.0 的 组 
合 将 指定 一 个 192.168.1.2， 而 不 包含 其 他 地 址 。 如 果 你 想 在 指定 接口 上 激活 OSPF， 这 种 方 
式 确实 很 有 用 ,并 且 这 也 是 完成 这 一 工作 可 采用 的 非常 明确 且 简单 的 方式 。 如 果 你 坚持 要 匹 
配 网 络 中 的 某 个 范围 ， 则 网 络 和 通配符 掩 码 192.168.1.0 0.0.0.255 的 组 合 将 指定 一 个 范围 
192.168.1.0 一 192.168.1.255。 由 此 可 知 ， 使 用 通配符 掩 码 0.0.0.0 将 分 别 标识 出 每 个 OSPF 的 
接口 ， 它 的 确 是 一 个 比较 简单 且 安 全 的 方式 。 

在 Routerl 上 ， 由 于 接口 S2 和 S3 都 属于 area 0， 你 也 可 以 将 这 两 个 网 段 合 并 为 一 个 。 


Router1l (config) #router ospf 1 


Routerl (config-router) #network 192.168.0.0 0.0.255.255 area 0 

这 就 意味 着 ， 只 要 路 由 器 的 接口 IP 地 址 是 192.168 开头 的 ， 都 将 运行 OSPF， 这 些 接口 
都 属于 area 0。 

如 果 这 两 个 接口 属于 不 同 area, 你 必须 写 两 条 network 才能 区 分 哪些 接口 属于 哪个 area。 


Router1l (config) #router ospf 1 


Routerl (config-router) #network 192.168.1.0 0.0.0.255 area 1 
Routerl (config-router) #network 192.168.2.0 0.0.0.255 area 0 


最 后 的 参数 是 区 域 号 码 , 它 指示 网 络 中 接口 被 标识 以 及 通配符 掩 码 所 限定 的 区 域 。 记 住 ， 
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如 果 OSPF 路 由 器 的 接口 共享 有 相同 区 域 号 的 网 络 ， 那 么 这 些 路 由 器 将 完全 可 以 成 为 邻居 。 
区 域 号 可 以 是 1 一 4 294 967 295 范围 内 的 十 进 制 数 ,也 可 以 被 表示 为 标准 的 点 分 符号 的 数值 。 
例如 ， 区 域 0.0.0.0 是 一 个 合法 的 区 域 ， 它 也 可 以 同样 表示 为 区 域 0。 


6.4.4 ”配置 OSPF 单 区 域 


打开 随 书 光盘 中 第 6 章 练习 “03 ”OSPF 单 区 域 pkt” 网络 拓扑 和 IP 地 址 如 图 6-16 所 示 。 
1. 实验 目的 

能 够 在 单 区 域 环境 中 配置 OSPF 路 由 协议 。 

2. 网 络 拓扑 和 实验 环境 

网 络 中 计算 机 和 路 由 器 的 IP 地 址 已 经 按 图 6-16 所 示 配置 完成 。 


2 
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Router0 


办 
192. ga 12/30 192. 168. 0. 16730 


Ser370 
14 18 


2950-24 
witch1 


172.17.0.0716 


全 图 6-16 网 络 拓扑 
3. 实验 要 求 
= ”在 Area 0 中 配置 OSPF。 
" ”查看 路 由 表 。 
" ”检查 OSPF 协议 的 收敛 速度 。 
4. 操作 步骤 
(1) 在 Router2 上 ， 配 置 OSPF 协议 。 
Router>en 


Router#config 七 
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Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.3 area 0 

Router (config-router) #network 172.16.0.0 0.0.255.255 area 0 

(2) 在 Router0 上 ， 配 置 OSPF 协议 。 

Router (config) #router ospf 100 -进程 ID 可 以 和 其 他 路 由 器 的 不 一 样 
Router (config-router) #network 192.168.0.0 0.0.0.3 area 0 

Router (config-router) #network 192.168.0.4 0.0.0.3 area 0 

Router (config-router) #network 192.168.0.12 0.0.0.3 area 0 


Router (config-router) #ex 


通配符 掩 码 ， 其 实 就 是 子 网 掩 码 的 反 转 ， 即 子 网 掩 码 的 1 变 成 0，0 变 成 1。 如 
果菜 个 网 段 的 子 网 掩 码 是 255.255.255.252， 二 进 制 位 11111111. 11111111. 


11111111. 11111100， 那 么 它 的 反 转 源码 为 00000000. 00000000. 00000000. 
00000011， 即 0.0.0.3。 


以 上 的 配置 可 以 使 用 下 面 的 命令 代替 ， 反 转 掩 码 为 0.0.0.255， 意 味 着 只 要 IP 地 址 是 
192.168.0 的 接口 都 运行 OSPF 协议 ， 且 都 工作 在 area 0。 

Router (config) #router ospf 100 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

(3) 在 Routerl 上 ， 配 置 OSPF 协议 。 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

(4) 在 Router4 上 ， 配 置 OSPF 协议 。 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

Router (config-router) #network 172.18.0.0 0.0.255.255 area 0 

(5) 在 Router3 上， 配置 OSPF 协议 。 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

Router (config-router) #network 172.17.0.0 0.0.255.255 area 0 


6.4.5 ”检查 路 由 表 


(1) 在 Router3 上 ， 查 看 路 由 表 。 
Router#show ip route 
Gateway of last resort is not set 
O 172.16.0.0/16 [110/1563] via 192.168.0.13, 00:01:15, Serial2/0 
c 172.17.0.0/16 is directly connected, FastEthernet0/0 
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O 172.18.0.0/16 [110/782] via 192.168.0.17, 00:01:15, Serial3/0 
192.168.0.0/30 is subnetted, 5 subnets 

192.168.0.0 [110/1562] via 192.168.0.13, 00:01:15; Serial2/0 
192.168.0.4 [110/1562] via 192.168.0.13, 00:01:15, Serial2/0 
192.168.0.8 [110/1562] via 192.168.0.17, 00:01:15, Serial3/0 
192.168.0.12 is directly connected, Serial2/0 


ER 


192.168.0.16 is directly connected, Serial3/0 
(2) 查看 OSPF 邻居 。 


Router#show ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
192.168.0.13 1 FULL/- 00:00:39 L92168.0.E3 Serial2/0 
L922 000 1 FULL/- 00:00:35 192.168.0.17 Serial3/0 


6.4.6 ”查看 OSPF 链 路 状态 数据 库 


Router#show ip ospf database 
OSPF Router with ID (192.168.0.18) (Process ID 1) 


Router Link States (Area 0) 


Link ID ADV Router Age Seq# Checksum Link count 
192.168.0.1 192.168.0.1 673 0x80000005 0x0082b6 3 
192.168.0.9 192.168.0.9 SE 0x80000004 0x004015 4 
192.16850.17 L9216830017 219 0x80000005 0x00dc82 5 
192.168.0.13 192.168.0.13 214 0x80000006 0x00fbd0 6 
192.168.0.18 192.168.0.18 200 0x80000005 0x0093be 5 


6.4.7 测试 OSPF 收敛 速度 


收敛 速度 , 反映 网 络 有 变化 后 , 网 络 中 路 由 器 上 的 路 由 表 重 新 达到 一 致 状态 所 
(1) 在 PCO 上 ， 跟 踪 数 据 包 路 径 。 


PC>tracert 172.17.0.2 


的 时 间 。 


Tracing route to 172.17.0.2 over a maximum of 30 hops: 
1 6ms 8 ms 了 ms 172.16.0.1 
22° 12 ms ll ms 11 ms 192.168.0.2 
3 13 m8 18 ms 15 ms 192.168.0.14 
4 25 ms 28 ms 29 ms 172.17.0.2 
可 以 看 到 数据 包 是 通过 Router2 一 Router0 一 Router3， 如 图 6-17 所 示 。 
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全 图 6-17 0SPF 选择 的 最 佳 路 径 
(2) 在 Router3 上 ， 关 闭 一 个 串 行 接口 。 
Router (config) #interface serial 2/0 
Router (config-if) #shutdown 
(3) 在 PC0 上 ， 再次 跟踪 到 PC1 的 数据 包 路 径 。 
PC>tracert 172217-0.2 
Tracing route to 172.17.0.2 over a maximum of 30 hops: 
1 9ms 6ms 7 ms 了 ORDER 
2 15 ms 11 ms 13 ms 192.169.0.2 
3 14 ms 14 ms 16 ms 192.168.0.6 
4 19 ms 22 ms 15 ms 192.168.0.10 
5 26ms 25 ms 29 ms 192.168.0.18 
6 29ms 30 ms 36 ms T7217.0,.2 
Trace complete. 
你 可 以 看 到 数据 包 途 径 Router2 一 Router0 一 Router1 一 Router4 一 Router3， 收 敛 速度 很 快 ， 
如 图 6-18 所 示 。 
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从 图 6-18 0SPF 选择 的 路 径 
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6.4.8 ”OSPF 多 区 域 


打开 随 书 光盘 中 第 6 章 练 习 “04 OSPF 多 区 域 .pkt” 网 络 拓扑 和 IP 地 址 规划 如 图 6-19 
所 示 。 配 置 OSPF 协议 支持 多 区 域 ， 国 家 骨干 网 是 OSPF 的 area 0 区 域 ， 使 用 40.0.0.0/16 子 
网 ， 河 南 省 使 用 40.1.0.0/16 子 网 ， 配 置 为 OSPF 的 area 1， 河 北 省 使 用 40.2.0.0/16 子 网 ， 配 
置 为 OSPF 的 area 2。 

网 络 中 的 路 由 和 计算 机 按照 图 示 已 经 配置 好 了 IP 地 址 ， 你 需要 在 这 些 路 由 器 上 配置 
OSPF 。 


PC- PC-PT PC-PT 
pC: PC4 
40.2.1.0/24 40.2.2.0/24 


河北 40. 2. 0. 0/16 


area 2 


河南 40. 1. 0.0/16 


area 1 


全 图 6-19 0SPF 多 区 域 


配置 步骤 如 下 。 

(1) 在 RouterA 上 ， 启 用 和 配置 OSPF 协议 。 

RouterA>en 

RouterA#config t 

RouterRA (config) #router ospf 1 

RouterA (config-router) #network 40.0.0.0 0.0.0.255 area 0 
(2) 在 RouterB 上 ， 启 用 和 配置 OSPF 协议 。 

RouterB (config) #router ospf 1 


RouterB (config-router) #network 40.0.0.0 0.0.255.255 area 0 
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RouterB (config-router) #network 40.1.0.0 0.0.255.255 area 
(3) 在 RouterC 上 ， 启 用 和 配置 OSPF 协议 。 

RouterC (config) #router ospf 1 

RouterC (config-router) #network 40.0.0.0 0.0.255.255 area 
RouterC (config-router) #network 40.2.0.0 0.0.255.255 area 
(4) 在 RouterD、RouterE 和 RouterF 上 ， 启 用 和 配置 OSPF 协议 。 
RouterD (config) #router ospf 1 

RouterD (config-router) #network 40.1.0.0 0.0.255.255 area 
(5) 在 RouterG、RouterH 和 Routerl 上 ， 启 用 和 配置 OSPF 协议 。 
RouterG (config) #router ospf 1 

RouterG (config-router) #network 40.2.0.0 0.0.255.255 area 


(6) 在 RouterA 上 查看 路 由 表 。 
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可 以 看 到 area 1 和 area 2 在 区 域 边界 路 由 器 上 没有 汇总 ， 在 area 0 中 可 以 看 到 area 1 和 
area 2 内 部 各 个 网 段 的 路 由 。 在 边界 路 由 器 手动 配置 可 以 将 area 1 网 络 中 的 网 段 汇 总 为 
一 条 路 由 到 area 0。Packet Tracer 不 支持 在 OSPF 的 区 域 边界 汇总 ， 所 以 下 面 的 实验 将 
会 使 用 Dynamips 软件 演示 OSPF 将 area 1 的 网 络 汇总 成 一 条 通告 给 area 0 的 路 由 器 。 


RouterR#show ip route 
Gateway of last resort is not set 


40.0.0.0/8 is variably subnetted, 14 subnets, 2 masks 


Ce 40.0.0.0/30 is directly connected, Serial2/0 

C 40.0.0.4/30 is directly connected, Serial3/0 

OTA 40.1.0.0/30 [110/1562] via 40.0.0.1, 00:36:03, Serial2/0 
OIA 40.1.0.4/30 [110/1562] via 40.0.0.1, 00:36:03, Serial2/0 
OIA 40.1.0.8/30 [110/1562] via 40.0.0.1, 00:36:03, Serial2/0 
OIA 40.1.1.0/24 [110/1563] via 40.0.0.1, 00:17:58, Serial2/0 
OIA 40.1.2.0/24 [110/1563] via 40.0.0.1, 00:16:27, Serial2/0 
OIA 40.1.3.0/24 [110/1563] via 40.0.0.1, 00:02:06, Serial2/0 
OIA 40.2.0.0/30 [110/1562] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.0.4/30 [110/1562] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.0.8/30 [110/1562] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.1.0/24 [110/1563] via 40.0.0.6, 00:08:20, Serial3/0 
O IR 40.2.2.0/24 [110/1563] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.3.0/24 [110/1563] via 40.0.0.6, 00:08:20, Serial3/0 
IA 代表 OSPF 到 其 他 区 域 网 络 的 路 由 ， 中 括号 中 的 110 代表 管理 距离 ， 后 面 的 值 是 度 
量 值 。 

RouterA#show ip ospf interface -- 显 示 接 口 的 OoSPF 配置 信息 和 状态 
RouterB#show ip ospf database =- 显示 路 由 的 链 路 状态 数据 库 
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RouterR#debug ip ospf events 一 -显示 OSPF 事件 ， 比 如 Hello 包 的 收发 
以 上 实验 area 1 和 area 2 可 以 汇总 为 一 条 路 由 通告 给 area 0， 但 是 Packet Tracer 软件 模 
拟 的 路 由 器 不 支持 区 域 汇 总 。 下 面 的 实验 在 Dynamips 软件 实现 OSPF 区 域 汇总 。 


6.4.9 OSPF 路 由 汇总 


本 节 配 置 OSPF 在 区 域 边界 进行 路 由 汇总 。 
以 下 的 实验 将 会 使 用 本 书 第 4 章 的 Dynamips 软件 搭建 的 实验 环境 ,演示 OSPF 将 area 1 
的 网 络 汇总 到 area 0， 网 络 拓扑 如 图 6-20 所 示 。 


192.168.8.1/24 192. 168.8. Dye 
192. 168.9. 1/24 


Se2/0 Router-pT Fal/0 Switch-PT 
RA Switch2 


192. 168\g. 2/24 


路 由 器 的 IP 地 址 已 经 按照 图 示 配 置 完 
成 ， 你 需要 配置 RB 将 area1 
汇总 为 40. 0. 0. 0/16 通 告 给 area 0 


40.0.1.1/24 
Fa0/0f RC \ Fal/ 


Switch-PT 
Switch0 


40.0.1.0/24 


Switch-PT 
Switchl 
40.0.2.0/24 


area 1 


全 图 6-20 网 络 拓扑 
按照 图 6-20 所 示 地 址 配置 网 络 中 路 由 器 IP 地 址 ， 你 需要 配置 路 由 器 启用 OSPF， 并 将 
相应 的 接口 指定 到 不 同 的 OSPF 区 域 ， 然 后 将 area 1 的 网 络 汇总 成 一 条 通告 给 area 0。 
操作 步骤 如 下 。 
(1) 在 RouterA 上 ， 进 入 全 局 配置 模式 配置 OSPF。 
RA (config) #router ospf 1 
RA (config-router) #network 192.168.8.0 0.0.0.255 area 0 
RA (config-router) #network 192.168.9.0 0.0.0.255 area 0 
(2) 在 RouterB 上 ， 进 入 全 局 配置 模式 配置 OSPF。 
RB (config) #router ospf 1 
RB (config-router) #network 192.168.9.0 0.0.0.255 area 0 
RB (config-router) #network 40.0.0.0 0.0.0.255 area 1 


(3) 在 RouterC 上 ， 进 入 全 局 配置 模式 配置 OSPF。 
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RC (config) #router ospf 1 
RC (config-router) #network 40.0.0.0 0.0.255.255 area 1 


(4) 在 RouterA 上 ， 查 看 路 由 表 ， 可 以 看 到 OSPF 区 域 的 3 个 子 网 ， 子 网 掩 码 是 24。 


RAshow ip route 
Gateway of last resort is not set 


C 192.168.8.8/24 is directly connected, FastEthernet@/0 
C 192.168.9.8/24 is directly connected- Seriali/@ 
49.9.9.9/24 is subnetted。3_subnets __ 子 网 擅 码 是 24, 3 个 子 网 
I 49.9-9.9 [118/128] via 192.168.9.2,. 686:860 -> Seriall/@ 
IN 49.9-1.9 [110/129] via 192.168.9.2. 99:60:60. Seriali/0 
I 49.9-2-8 [118/129] via 192.168.9.2,. 80:80:80. Seriall/@ 


(5) 在 RB 上 进行 汇总 ， 将 汇总 为 40.0.0.0/16。 

RB (config) #router ospf 1 

RB (config-router) #area 1 range 40.0.0.0 255.255.0.0 

(6) 在 RouterA 上 ， 查 看 area 1 汇总 过 来 的 路 由 表 ， 注 意 观 察 子 网 掩 码 为 16。 


Rhitshow ip route 
Gateway of last resort is not set candidate default。U - per-user static route 
o - 0DR。P - periodic downloaded static route 
C 192.168.8.0/24 is directly connected, FastEthernet@/0 
C 192.168.9.0/24 is directly connected, Seriall/@ 
40.0.0.80/16 is subnetted,. 1 subnets 子 网 掩 码 是 16 ， 1 个 子 网 
0D_Ih 49.9.9.9 [116/128] via 192.168.9.2. 60:80:26, Seriali/@ 


区 7 RIP、EIGRP 和 OSPF 协议 的 对 比 
以 上 讲述 了 RIP、EIGRP 和 OSPF 的 配置 方法 。 现 在 对 这 几 种 协议 进行 对 比 。 


6.5.1 路 由 协议 的 类 型 


路 由 协议 分 以 下 几 种 类 型 。 
。 2 典型 代表 就 是 RIP， 其 特点 就 是 周期 性 广播 或 多 播 ， 将 自己 的 路 由 
通告 给 其 他 路 由 器 。 


。 we 典型 代表 就 是 OSPF， 其 特点 就 是 周期 性 使 用 Hello 包 维 护 邻 居 信 
息 、 触 发 式 更 新 链 路 状态 、 使 用 链 路 状态 数据 库 计 算 路 由 表 。 

" ”混合 型 协议 : 典型 代表 就 是 EIGRP，, 为 什么 说 它 是 混合 的 呢 ? 因 为 使 用 Hello 包 维 
护 邻居 信息 、 触 发 式 更 新 , 这 些 特性 像 链 路 状态 的 部 分 特性 , 但 是 它 又 直接 通告 路 

由 表 到 其 他 路 由 器 ， 此 特性 是 距离 矢量 的 特性 ， 因 此 称 EIGRP 为 混合 型 。 

这 三 种 协议 的 功能 对 比如 表 6-1 所 示 。 
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表 6-1 RIP、EIGRP 和 0SPF 协议 功能 对 比 


协议 类 型 

无 类 支持 在 是 是 

VLSM 支持 在 是 是 

自动 汇总 是 是 奋 

手动 汇总 可 是 是 

不 连续 子 网 支持 在 是 是 

路 由 传播 周期 性 广播 触发 式 触发 式 更 新 
度量 值 跳 数 带宽 和 延迟 带宽 


跳 数 限制 


分 层 网 络 


直接 更 新 路 由 表 


Bellman-Ford Bellman-Ford DUAL 


自制 系统 
触发 式 更 新 


分 区 域 


Dijkstra 


6.5.2 路 由 协议 的 优先 级 


如 果 网 络 中 的 路 由 器 运行 了 多 个 路 由 协议 ， 比 如 EIGRP 和 RIP， 这 两 个 协议 都 学 到 了 
到 某 个 网 段 的 路 由 。 到 底 以 哪 一 条 为 准 呢 ? 这 就 需要 用 动态 路 由 协议 的 管理 距离 (AD ) 来 


管理 距离 是 用 来 衡量 接收 来 自 相 邻 路 由 器 上 路 由 选择 信息 的 可 信 度 的 。 一 个 管理 距离 是 
-个 从 0 一 255 的 整数 值 ，0 是 最 可 信赖 的 ， 而 255 则 意味 着 不 会 有 业务 量 通 过 该 路 由 。 
如 果 一 台 路 由 器 接收 到 两 个 对 同一 远程 网 络 的 更 新 内 容 ， 路 由 器 首先 要 检查 的 是 AD。 


置 在 路 由 表 中 。 


比 另 一 个 具有 较 低 的 AD 值 ， 则 那个 带 有 较 低 AD 值 的 路 由 将 会 被 放 


如 果 两 个 被 通告 的 到 同一 网 络 的 路 由 具有 相同 的 AD 值 ， 则 路 由 协议 的 度量 值 ( 如 跳 数 
或 链 路 的 带宽 值 ) 将 被 用 作 寻 找到 达 远程 网 络 最 佳 路 径 的 依据 。 被 通告 的 带 有 最 低 度量 值 的 
路 由 将 被 放置 在 路 由 表 中 。 然 而 ， 如 果 两 个 被 通告 的 路 由 具有 相同 的 AD 及 相同 的 度量 值 ， 
那么 路 由 选择 协议 将 会 对 这 一 远程 网 络 使 用 负载 均衡 ( 即 它 所 发 送 的 数据 包 会 平分 到 每 个 链 


路 上 )。 


表 6-2 列 出 了 默认 的 管理 距离 。 


表 6-2 ”默认 管理 距离 


路 由 源 默认 AD 
连接 接口 0 
静态 路 由 1 
EIGRP 90 
OSPF 110 
RIP 120 
Extemal EIGRP 170 
未 知 255〈 这 个 路 由 绝 不 会 被 使 用 ) 


6.5.3 ”验证 路 由 协议 的 优先 级 


打开 随 书 光盘 中 第 6 章 练 习 “05 验证 路 由 协议 优先 级 .pkt”， 如 图 6-21 所 示 。 网 络 中 的 


中 天 | > 二 向 弘 醒 | 于 
路 由 器 和 计算 机 的 IP 地 址 已 经 配置 。 
172.16.1.0 2 172.16.2.0 
255. 255. 255.0 i 255. 255.255.0 
1 
1 Router-PT 2 
en Routerl 一 一 和 
- 2 
PFC- rd Router-PT I~~™~. 1 Router-PT 2950T-24 pd 
pco SwitchO RouterO 1 ~ Router2 Switch2 PC2 
2 眉 dy yao 172.16.4.0 172.16.3.0 
255. 255.255.0 Router-PT 255.255.255.0 255. 255. 255.0 


Router3 


全 图 6-21 网 络 拓扑 
你 需要 先 配 置 路 由 器 使 用 RIP 协议 ， 再 配置 路 由 器 使 用 OSPF， 然 后 配置 路 由 器 使 用 
EIGRP 协议 ， 最 后 添加 静态 路 由 。 查 看 路 由 器 的 路 由 表 ， 验 证 这 些 动态 路 由 协议 的 优先 级 。 
操作 步骤 如 下 。 
(1) 配置 网 络 中 的 路 由 器 使 用 RIP 协议 ， 在 所 有 的 路 由 器 上 运行 以 下 命令 。 


Router (config) #router rip 


Router (config-router) #network 172.16.0.0 
(2) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


172.16.0.0/24 is subnetted, 6 subnets 

172.16.0.0 is directly connected, FastEthernet0/0 
172.16.1.0 is directly connected, Serial2/0 
172.16.2:0 [120/1] via 172.16,1.2; 00:00:22, Serial2/0 


另 见 DO Oo 


172.16.3.0 [120/2] via 172.16.5.2, 00:00:04, FastEthernet1/0 
[120/2] via 172.16.1.2, 00:00:22, Serial2/0 
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及 172.16.4.0 [120/1] via 172.16.5.2, 00:00:04, FastEthernet1/0 

172.16.5.0 is directly connected, FastEthernet1/0 

可 以 看 到 到 达 172.16.3.0/24 网 段 有 两 条 等 价 路 径 ， 管 理 距离 为 120， 度 量 值 为 2， 也 就 

是 2 跳 。 

(3) 配置 网 络 中 的 路 由 器 使 用 OSPF 协议 ， 使 这 些 路 由 器 工作 在 OSPF 区 域 0， 在 所 有 
的 路 由 器 上 运行 以 下 命令 。 


Router (config) #router ospf 1 


Router (config-router) #network 172.16.0.0 0.0.255.255 area 0 
(4) 在 Router0 上 查看 路 由 表 。 

Router0#show ip route 

172.16.0.0/24 is subnetted，6 subnets 

br is directly connected, FastEthernet0/0 
Os is directly connected, Serial2/0 


L726% 


0.0 
二 0 
172.16.2.0 [110/1562] via 172.16.1.2, 00:02:31, Serial2/0 
3.0 [110/783] via 172.16.5.2, 00:01:51, FastEthernet1/0 
4.0 


L125T60% [110/782] via 172.16.5.2, 00:01:51, FastEthernet1/0 


OO 


172.16.5.0 is directly connected, FastEthernet1/0 

可 以 看 到 通过 RIP 学 到 的 路 由 已 经 不 出 现 ， 只 显示 通过 OSPF 学 到 的 路 由 。 管理 距离 为 
110， 到 172.16.3.0/24 网 络 的 路 由 ， 度 量 值 为 7833， 是 一 条 最 佳 路 径 。 

(5) 配置 网 络 中 的 路 由 器 使 用 EIGRP 协议 ， 自 制 系统 编号 为 10， 在 所 有 的 路 由 器 上 运 
行 以 下 命令 。 


Router (config) #router eigrp 10 


Router (config-router) #network 172.16.0.0 
(6) 在 Router0 上 查看 路 由 。 

Router0#show ip route 

Gateway of last resort is not set 
172.16.0.0/24 is subnetted，6 subnets 
172。16。 
172。16。 


is directly connected, FastEthernet0/0 


is directly connected, Serial2/0 


2 [90/20517120] via 172.16.5.2, 00:00:14, FastEthernet1/0 
[90/20514560] via 172.16.5.2, 00:00:14, FastEthernet1/0 
避 172.16.5.0 is directly connected, FastEthernet1/0 

可 以 看 到 通过 OSPF 和 RIP 协议 学 到 的 路 由 不 再 显示 ， 只 出 现 通 过 EIGRP 学 到 的 路 由 
表 ， 因 为 EIGRP 协议 的 管理 距离 为 90， 比 OSPF 协议 和 RIP 协议 的 管理 距离 小 ， 达 到 
172.16.3.0/24 网 段 的 度量 值 为 20517120。 

(7) 在 Router2 上 禁用 EIGRP。 


,= J = 辣 用 人) 


0.0 
0 
172.16.2.0 [90/21024000] via 172.16.1.2, 00:00:46, Serial2/0 
3.0 
4.0 


172.16. 
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Router2 (config) #no router eigrp 10 

(8) 在 Router0 上 添加 到 172.16.2.0/24 网 段 的 路 由 。 

Router0 (config) #ip route 172.16.2.0 255.255.255.0 172.16.1.2 ? 
<1-255> Distance metric for this route 
<cr> 

Router0 (config) # ip route 172.16.2.0 255.255.255.0 172.16.1.2 

=-- 使 用 默认 的 AD 

默认 管理 距离 为 1， 可 改 为 其 他 的 值 

(9) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


Gateway of last resort is not set 


172.16.0.0/24 is subnetted, 6 subnets 
和 is directly connected, FastEthernet0/0 
LG is directly connected, Serial2/0 


L1216. [110/783] via 172.16.5.2, 00:03:23, FastEthernet1/0 


0 
0.0 
1.0 
T2620 1110Ol win 2 
3.0 
172.16.4.0 [90/20514560] via 172.16.5.2, 00:03:23, FastEthernet1/0 


A 0 


172.16.5.0 is directly connected, FastEthernet1/0 

到 172.16.2.0/24 网 段 的 路 由 是 静态 路 由 , 管理 距离 为 1, 因此 通过 RIP、OSPF 和 EIGRP 
学 到 的 到 该 网 段 的 路 由 都 不 出 现 。 

由 于 在 Router2 上 禁用 了 EIGRP， 到 172.16.3.0/24 网 段 的 路 由 是 通过 OSPF 学 到 的 。 可 

见 路 由 器 上 的 路 由 表 可 以 通过 多 个 IP 协议 和 静态 路 由 共同 构造 。 

(10) 在 Router0 上 查看 路 由 器 运行 的 所 有 的 动态 路 由 协议 。 

Router#show ip protocols 

通过 本 实验 ， 可 以 得 到 以 下 结论 。 

网 络 中 的 路 由 器 可 以 同时 运行 多 种 动态 路 由 协议 (通常 不 会 配置 路 由 器 同时 运行 多 种 动 
态 路 由 协议 ， 因 为 这 样 做 比较 消耗 路 由 器 的 CPU 和 网 络 带 宽 ) 和 静态 路 由 ， 路 由 器 可 以 通 
过 多 个 动态 路 由 协议 学 到 到 某 个 网 段 的 路 由 , 管理 距离 值 较 小 的 协议 学 到 的 路 由 出 现在 路 由 
表 中 。 


甘于 时 中 再 发 布 


路 由 器 上 的 静态 路 由 通常 不 会 被 动态 路 由 协议 通告 出 去 。 如果 你 需要 将 某 个 路 由 器 的 静 
态 路 由 通过 动态 路 由 协议 通告 出 去 ， 就 需要 将 静态 路 由 发 布 到 动态 路 由 。 
不 同 的 动态 路 由 协议 之 间 需 要 交换 路 由 表 ， 也 需要 进行 路 由 再 发 布 。 
下 面 就 举 两 个 例子 演示 将 静态 路 由 发 布 到 动态 路 由 , 以 及 不 同 的 动态 路 由 协议 之 间 进 行 


245 
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路 由 再 发 布 。 
6.6.1 将 静态 路 由 发 布 到 动态 路 由 


打开 随 书 光盘 中 第 6 章 练习 “06 将 静态 路 由 发 布 到 动态 路 由 .pkt”， 如 图 6-22 所 示 ， 河 
北 师 大 和 软件 学 院 有 各 自 独 立 的 网 络 ， 有 独立 的 IT 部 门 管理 自己 的 网 络 。Routerl 是 访问 
Internet 的 出 口 。 河 北 师 大 的 内 部 网 络 配 置 EIGRP 协议 ， 可 以 认为 是 一 个 自制 系统 。 软 件 学 
院 的 内 部 网 络 配置 RIP 协议 , 可 以 认为 是 一 个 自制 系统 。 Router3 模拟 Internet 的 路 由 器 , PC4 
模拟 Internet 的 一 个 计算 机 。 


12.0.0.0/8 


自制 系统 
运行 EIGRP 协 议 
由 131.107.0.0/30 


QRouter-PT 10.0.3.0 PC-PT 
Router6 255.255.255.0 。 PC1 


172.16.0.0 Router-P 
255.255.255.0 ”Router0 1 


2 

Se7/0 40.0.0.0/30 2 ， 

全 1 > 

Poy Se2/0 
R 


Router-PT 


PE-PT Router-PT 255.255. Router7 
Pe 


172.16.3.0 
255. 255. 255.0 


软件 学 院 
10.0.0.0/8 


河北 师 大 
172.16.0.0/16 


河北 师 大 和 软件 学 院 独 自 规划 自己 
的 网 络 ， 属 于 不 同 的 自制 系统 


A 图 6-22 静态 路 由 再 发 布 实验 的 网 络 拓扑 
1. 实验 环境 


网 络 中 的 计算 机 和 路 由 器 已 经 按照 图 6-22 所 示 的 地 址 配置 完成 。 
Router3 已 经 添加 了 到 172.16.0.0/16 和 10.0.0.0/8 网 段 的 路 由 。 
Router0、Routerl 和 Router2 配置 了 EIGRP 协议 。 
Router5、Router6 和 Router7 配置 了 RIP 协议 。 


2. 实验 要 求 


Routerl 是 河北 师 大 的 边界 路 由 器 ， 需 要 在 Routerl 上 添加 到 10.0.0.0/16 网 段 的 静态 路 
和 指向 Internet 的 默认 路 由 ,然后 让 Routerl 使 用 EIGRP 将 这 两 条 静态 路 由 通告 给 Router0 
和 Router2。 

Router5 是 软件 学 院 的 边界 路 由 器 , 需要 在 Router5 上 添加 一 条 默认 路 由 ,然后 让 Router5 
使 用 RIP 将 该 默认 路 由 通告 给 Router6 和 Router7。 
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3. 操作 步骤 


(1) 在 Routerl 上 添加 静态 路 由 和 查看 路 由 表 。 

Routerl (config) #ip route 10.0.0.0 255.0.0.0 Serial 6/0 -- 指 向 接口 的 静态 路 由 
Routerl (config) #ip route 0.0.0.0 0.0.0.0 Serial 7/0 -- 指 向 接口 的 静态 路 由 
指向 一 个 接口 的 静态 路 由 应 该 只 在 点 到 点 链 路 接口 上 使 用 。 因 为 在 其 他 接口 上 ,路 由 器 
将 不 知道 要 发 送信 息 去 的 具体 地 址 。 在 点 到 点 接口 上 , 信息 将 只 被 发 送 到 网 络 上 的 对 端 
设备 。 这 样 添 加 的 路 由 管理 距离 是 0， 相当 于 该 路 由 器 直 连 这 个 网 段 ， 因 此 该 网 段 才能 
通过 动态 路 由 协议 通告 出 去 。 在 这 里 绝对 不 能 写 下 一 跳 的 IP 地 址 。 


Routerl#show ip route 


Gateway of last resort is 0.0.0.0 to network 0.0.0.0 

s 10.0.0.0/8 is directly connected，Serial6/0 -- 该 默认 路 由 ， 相 当 于 直 连 网 络 
40.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 

D 40.0.0.0/8 is a summary, 00:47:33, Null0 

径 40.0.0.0/30 is directly connected, Serial6/0 
131.107.0.0/30 is subnetted, 1 subnets 

性 131.107.0.0 is directly connected, Serial7/0 

L2G 

L712%16 


.0/16 is variably subnetted, 5 subnets, 2 masks 
.0/16 is a summary, 00:47:33, Null0 


172.16.1.0/24 is directly connected, Serial3/0 


0 

0 

172.16.0.0/24 [90/20514560] via 172.16.1.1, 00:47:33, Serial3/0 
和 

172.16.3.0/24 [90/20514560] via 172.16.2.2, 00:47:33, Serial2/0 

S* 0.0.0.0/0 is directly connected，Serial7/0 -- 该 默认 路 由 ， 相 当 于 直 连 网 络 
(2) 在 Routel 上 修改 EIGRP 配置 ， 将 到 达 10.0.0.0 这 个 A 类 网 络 的 路 由 和 默认 路 由 通 
告 出 去 。 


Routerl (config) #router eigrp 10 


.0/24 is directly connected, Serial2/0 


= 已 


Router1l (config-router) #network 10.0.0.0 

Routerl (config-router) #network 0.0.0.0 

(3) 在 Router5 上 添加 静态 路 由 和 修改 RIP 将 默认 路 由 通告 出 去 。 
Router5 (config) #ip route 0.0.0.0 0.0.0.0 Serial 2/0 
Router5 (config) #router rip 

Router5 (config-router) #network 0.0.0.0 


(4) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


Gateway of last resort is 172.16.1.2 to network 0.0.0.0 
D 10.0.0.0/8 [90/21024000] via 172.16.1.2, 00:01:50, Serial2/0 


一 -到 软件 学 院 的 路 由 
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D 40.0.0.0/8 [90/21024000] via 172.16.1.2, 00:52:00, Serial2/0 
D 131.107.0.0/16 [90/21024000] via 172.16.1.2, 00:01:50, Serial2/0 
172.16.0.0/24 is subnetted, 4 subnets 
172.16.0.0 is directly connected, FastEthernet0/0 
172.16.1.0 is directly connected, Serial2/0 
172.16.2.0 [90/21024000] via 172.16.1.2, 00:52:00, Serial2/0 
172.16.3.0 [90/21026560] via 172.16.1.2, 00:52:00, Serial2/0 
D* 0.0.0.0/0 [90/21024000] via 172.16.1.2, 00:01:50, Serial2/0 

-- 到 Internet 的 默认 路 由 
河北 师 大 的 内 部 路 由 器 通过 EIGRP 学 习 到 了 边界 路 由 器 Routerl 通告 的 到 Internet 的 默 
认 路 由 和 到 软件 学 院 的 静态 路 由 
(5) 在 Router6 上 查看 路 由 表 。 


Router6#show ip route 


[» =) 


o 


Gateway of last resort is 10.0.1.1 to network 0.0.0.0 


10.0.0.0/24 is subnetted, 4 subnets 


10.0.1.0 is directly connected, Serial2/0 


10.0.2.0 [120/1] via 10.0.1.1, 00:00:26, Serial2/0 


10. 


0 
0 
0 

10.0.3.0 is directly connected, FastEthernet0/0 
0.4.0 [120/2] via 10.0.1.1, 00:00:26, Serial2/0 
0 


0 


4080505078 [120/1] via 10.0.1.1, 00:00:26, Serial2/0 

R* 0.0.0.0/0 [120/1] via 10.0.1.1，00:00:26，Serial2/0 -- 学 到 的 默认 路 由 
软件 学 院 的 内 部 路 由 器 通过 RIP 协议 学 习 到 了 边界 路 由 器 Routers 通告 的 默认 路 由 。 
(6) 在 PC0 上 跟踪 到 达 PC1 的 数据 包 路 径 。 

PC>tracert 10.0.3.2 

(7) 在 PC0 上 跟踪 到 达 PC4 的 数据 包 。 


Pe>tracert 12.0%.0.2 


6.6.2 RIP 和 EIGRP 路 由 再 发 布 


不 同 的 动态 路 由 协议 之 间 需 要 交换 路 由 表 ， 也 需要 进行 路 由 再 发 布 。 
打开 随 书 光盘 中 第 6 章 练习 “07 RIP 和 EIGRP 路 由 再 发 布 .pkt”， 网 络 拓扑 如 图 6-23 


所 示 。 网 络 中 的 路 由 器 和 计算 机 已 经 按照 图 示 的 地 址 配置 完成 。Router0 和 Routerl 运行 了 
RIPv2， 并 且 关 闭 了 自动 汇总 ，Routerl 和 Router2 运行 了 EIGRP 协议 。 


你 需要 配置 Routerl 将 EIGRP 协 议 学 到 的 路 由 通过 RZP 协 议 通 告 给 Router0; 配 置 Routerl 


将 RIPv2 学 到 的 路 由 通过 EIGRP 协议 通告 给 Router2 。 


172.16.0.0 
255. 255. 255.0 


6 EE 
Router-PT 7 PC-PT 
Router2 


172.16.1.0 


PC1 255. 255. 255.0 Router0 


MD 172.16.2.0 
Dl 255. 255. 255.0 
全 图 6-23 RIP 和 BIGRP 路 由 再 发 布 的 网 络 拓扑 
操作 步骤 如 下 。 


(1) 在 Routerl 上 运行 show ip route 命令 查看 路 由 表 。 
Routerl#show ip route 
Gateway of last resort is not set 

10.0.0.0/30 is subnetted, 2 subnets 
je 10.0.0.0 is directly connected, Serial3/0 
忆 10.0.0.4 is directly connected, Serial2/0 
172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks 
172.16.0.0/24 [120/1] via 10.0.0.1, 00:00:26, Serial3/0 
172.16.1.0/24 [120/1] via 10.0.0.1, 00:00:26, Serial3/0 
172.16.2.0/24 [120/1] via 10.0.0.1, 00:00:26, Serial3/0 
192.168.0.0/24 [90/20514560] via 10.0.0.6, 00:35:10, Serial2/0 
可 以 看 到 在 Routerl 上 的 路 由 表 中 包括 了 通过 RIP 协议 学 到 的 路 由 和 通过 EIGRP 协议 学 
到 的 路 由 。 
(2) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


口 另 另 史 


Gateway of last resort is not set 
10.0.0.0/30 is subnetted，2 subnets 
10.0.0.0 is directly connected, Serial2/0 


R 10.0.0.4 [120/1] via 10.0.0.2, 00:00:14, Serial2/0 
172.16.0.0/24 is subnetted, 3 subnets 

& 172.16.0.0 is directly connected, FastEthernet0/0 

172.16.1.0 is directly connected, FastEthernet1/0 

172.16.2.0 is directly connected, FastEthernet6/0 


可 以 看 到 Routerl 没有 将 其 通过 EIGRP 学 到 的 路 由 通过 RIP 协议 通告 给 Router0。 

(3) 在 Router2 上 查看 路 由 表 。 

同样 可 以 看 到 Routerl 没有 将 其 通过 RIP 学 到 的 路 由 通过 EIGRP 协议 通告 给 Router2。 
(4) 在 Routerl 上 配置 将 EIGRP 发 布 到 RIP。 
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Router1#config 七 
Router1l (config) #router rip 
Router1l (config-router) #redistribute eigrp 10 metric ? 
<0-16> Default metric 
transparent Transparently redistribute metric 
Router1l (config-router) #redistribute eigrp 10 metric 3 
最 后 一 条 命令 将 EIGRP 协议 学 到 的 路 由 度量 值 转化 为 RIP 协议 的 度量 值 3。 
(5) 在 Routerl 上 配置 将 RIP 发 布 到 EIGRP。 
Routerl (config) #router eigrp 10 
Router1l (config-router) #redistribute rip metric 10000 100 255 1 1500 
最 后 一 条 命令 是 将 RIP 学 到 的 路 由 度量 值 转化 为 EIGRP 的 度量 值 。 其 中 : 
10000: 是 带宽 ， 单 位 是 kb/s; 
100: 是 延迟 ， 单位 是 10us; 
255: 是 可 靠 性 ， 值 可 以 是 0 一 255，255 是 100% 可 靠 ; 
1: 是 负载 ， 值 可 以 是 1 一 2355，255 是 100% 负 载 ， 即 网 络 将 要 堵塞 ; 
1500: 是 最 大 传输 单元 (MTU)， 单 位 为 8 比特 字 节 。 
(6) 在 Router0 上 查看 路 由 表 。 
Router0#show ip route 
Gateway of last resort is not set 
10.0.0.0/30 is subnetted，2 subnets 
10.0.0.0 is directly connected, Serial2/0 
10.0.0.4 [120/1] via 10.0.0.2, 00:00:04, Serial2/0 
172.16.0.0/24 is subnetted, 3 subnets 


兄 


172.16.0.0 is directly connected, FastEthernet0/0 
172.16.1.0 is directly connected, FastEthernet1/0 
172.16.2.0 is directly connected, FastEthernet6/0 
192.168.0.0/24 [120/3] via 10.0.0.2, 00:12:34, Serial2/0 
-- 学 到 了 再 发 布 的 路 由 


四 是 有 


(7) 在 Router2 上 查看 路 由 表 。 


Router2#show ip route 


Gateway of last resort is not set 
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 
D 10.0.0.0/8 is a summary, 01:04:04, Null0 
D 10.0.0.0/30 [90/21024000] via 10.0.0.5, 01:04:04, Serial3/0 
C 10.0.0.4/30 is directly connected, Serial3/0 
172.16.0.0/24 is subnetted, 3 subnets 


D EX 172.16.0.0 [170/20537600] via 10.0.0.5, 00:07:39, Serial3/0 
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-- 再 发 布 的 路 由 
D EX 172.16.1.0 [170/20537600] via 10.0.0.5, 00:07:39, Serial3/0 

-再 发 布 的 路 由 
D EX 172.16.2.0 [170/20537600] via 10.0.0.5, 00:07:39, Serial3/0 

-- 再 发 布 的 路 由 
S 192.168.0.0/24 is directly connected, FastEthernet0/0 


可 以 看 到 D EX 开头 的 路 由 是 EIGRP 的 外 部 路 由 ， 也 就 是 RIP 发 布 到 EIGRP 的 路 由 ， 


管理 距离 是 170。 
(8) 在 PC0 上 ping PC2， 测 试 网 络 是 否 通 。 
PC>ping 192.168.0.2 

(9) 在 Routerl 上 取消 再 发 布 。 


Routerl (config) #router eigrp 10 


-取消 EIGRP 到 RIP 的 发 布 


Routerl (config-router) #no redistribute rip 


Routerl (config) #router rip 
Routerl (config-router) #no redistribute eigrp 10 


-取消 RIP 到 EIGRP 的 发 布 


6.6.3 ”OSPF 和 EIGRP 路 由 再 发 布 


打开 随 书 光盘 中 第 6 章 练 习 “07 OSPF 和 EIGRP 路 由 再 发 布 .pkt” 网络 拓扑 如 图 6-24 
所 示 ， 网 络 中 的 路 由 器 和 计算 机 已 经 按照 图 示 的 地 址 配置 完成 。Router0 和 Routerl 运行 了 
OSPF， 都 工作 在 area 0，Routerl 和 Router2 运行 了 EIGRP 协议 。 

你 需要 配置 Routerl 将 EIGRP 协议 学 到 的 路 由 通过 OSPF 协议 通告 给 Router0; 配置 
Routerl 将 OSPF 学 到 的 路 由 通过 EIGRP 协议 通告 给 Router2 。 


172.16.0.0 
255. 255.255.0 


6 
Router-PT 
Router2 


2 172.16.1.0 
255. 255. 255.0 


EIGRP 


加 
让 
A 图 6-24 0SPF 和 EIGRP 路 由 再 发 布 的 网 络 拓扑 
操作 步骤 如 下 。 


(1) 在 Router0、Routerl 和 Router2 上 查看 路 由 表 ， 运 行 show ip route 命令 ， 注 意 观 察 
路 由 表 ，Routerl 路 由 表 有 到 所 有 网 络 的 路 由 。 
(2) 在 Routerl 上 配置 将 EIGRP 发 布 到 OSPF。 


Router1l (config) #router ospf 1 
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Routerl (config-router) #redistribute eigrp 10 metric 30 metric-type 1 subnets 
以 上 命令 将 EIGRP 10 学 到 的 路 由 重新 分 配 进 入 OSPF 进程 1。 命 令 的 度量 部 分 为 每 一 
新 分 配 的 路 由 分 配 度量 值 ， 度 量 值 是 OSPF 代价 值 30。 重 新 分 配 使 得 Routerl 作为 
OSPF 域 的 ASBR。 被 重新 分 配 的 路 由 是 作为 外 部 路 由 进行 通告 的 。 命 令 metric-type 部 
分 指明 了 外 部 路 由 的 类 型 为 E1。 关 键 字 subnets 仅 当 OSPF 发 布 路 由 时 使 用 ， 它 指明 了 
新 分 配 的 子 网 细节 ， 如 果 没 有 它 ， 仅 重新 分 配 主 网 地 址 。 

(3) 在 Routerl 上 配置 将 OSPF 发 布 到 EIGRP。 


Router1l (config) #router eigrp 10 


Router1l (config-router) #redistribute ospf 1 metric 10000 100 255 1 1500 
以 上 命令 将 OSPF 协议 学 到 的 路 由 重新 分 配 进入 EIGRP 10， 并 且 指 明 EIGRP 对 应 的 度 
量 值 ， 依 次 为 带宽 、 延 迟 、 可 靠 性 、 负 载 和 最 大 传输 单元 。 

(4) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


Gateway of last resort is not set 
10.0.0.0/30 is subnetted，2 subnets 
10.0.0.0 is directly connected, Serial2/0 

[110/1562] via 10.0.0.2, 00:25:23, Serial2/0 


0 

O 100s064 

172.16.0.0/24 is subnetted, 3 subnets 
0 
工 
2 


Ce 172.16.0.0 is directly connected, FastEthernet0/0 

已 172.16.1.0 is directly connected, FastEthernet1/0 

Le 172.16.2.0 is directly connected, FastEthernet6/0 

OEl 192.168.0.0/24 [110/811] via 10.0.0.2, 00:03:04, Serial2/0 
--OSPF 外 部 路 由 


(5) 在 Router2 上 查看 路 由 表 。 


Router2#show ip route 


Gateway of last resort is not set 
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 
D 10.0.0.0/8 is a summary, 04:13:01, Null0 
D 10.0.0.0/30 [90/21024000] via 10.0.0.5, 04:13:01, Serial3/0 
10.0.0.4/30 is directly connected, Serial3/0 
172.16.0.0/24 is subnetted, 3 subnets 
D EX 172.16.0.0 [170/20537600] via 10.0.0.5, 00:48:00, Serial3/0 
=--EIGRP 外 部 路 由 
D EX 172.16.1.0 [170/20537600] via 10.0.0.5, 00:48:00, Serial3/0 
--EIGRP 外 部 路 由 
D EX 172.16.2.0 [170/20537600] via 10.0.0.5, 00:48:00, Serial3/0 
--EIGRP 外 部 路 由 
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Oe 192.168.0.0/24 is directly connected, FastEthernet0/0 


可 以 看 到 通过 EIGRP 学 到 的 OSPF 发 布 的 路 由 ， 度 量 值 为 170。 
(人 实验 


6.7.1 实验 1: 配置 RIPv2 支持 变 长 子 网 


打开 随 书 光盘 中 第 6 章 “ 实 验 1 配置 RIPv2 支持 变 长 子 网 .pkt”。 网 络 拓 扑 如 图 6-25 所 
示 ， 本 实验 用 来 验证 RIPv1 不 支持 变 长 子 网 ，RIPv2 支持 变 长 子 网 。 

网 络 中 的 路 由 器 和 计算 机 都 已 经 配置 好 了 IP 地 址 和 子 网 掩 码 。 你 需要 配置 这 些 路 由 器 
使 用 RIP 协议 。 查 看 Routerl 的 路 由 表 是 否 正 确 ， 然 后 将 网 络 中 的 路 由 器 的 RIP 协议 更 改 为 
RIPv2， 再 次 查看 Routerl 的 路 由 表 是 否 正 确 。 


192. 168.0.8 


下 255. 255. 255. 248 


255. 255. 255. 248 


Switcho 


< 
4 PC-PT 130 
RE PC2 
PC0 
192. 168.0.64 192. 168.0. 128 
生生 255. 255. 255. 192 255. 255. 255. 128 


255. 255. 255. 224 
全 图 6-25 变 长 子 网 网 络 拓扑 
操作 步骤 如 下 。 
(1) 在 所 有 的 路 由 器 上 运行 以 下 命令 启用 RIPv1。 


Router (config) #router rip 


Router (config-router) #network 192.168.0.0 
(2) 查看 Routerl 的 路 由 表 。 

Router#show ip route 

Gateway of last resort is not set 


192.168.0.0/24 is variably subnetted, 3 subnets, 2 masks 


CE 192.168.0.0/29 is directly connected, Serial3/0 
C 192.168.0.8/29 is directly connected, Serial2/0 
c 192.168.0.64/26 is directly connected, FastEthernet0/0 
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可 以 看 到 根本 就 没有 通过 RIP 学 到 到 其 他 网 段 的 路 由 表 。 
(3) 在 所 有 的 路 由 器 上 运行 以 下 命令 ， 将 RIP 更 改 为 RIPv2。 


Router (config) #router rip 


Router (config-router) #version 2 
(4) 再 次 查看 Routerl 上 的 路 由 表 。 
Router#show ip route 


Gateway of last resort is not set 


192.168.0.0/24 is variably subnetted，5 subnets，4 masks 
€ 192.168.0.0/29 is directly connected, Serial3/0 
人 192.168.0.8/29 is directly connected, Serial2/0 
及 192.168.0.32/27 [120/1] via 192.168.0.1, 00:00:01, Serial3/0 
他 192.168.0.64/26 is directly connected, FastEthernet0/0 
R 192.168.0.128/25 [120/1] via 192.168.0.10, 00:00:03, Serial2/0 


现在 学 到 了 网 络 中 的 所 有 网 段 ， 你 也 可 以 查看 Router0 和 Router2 的 路 由 表 。 


6.7.2 实验 2: 配置 RIPv2 支持 不 连续 子 网 


打开 随 书 光盘 中 第 6 章 “ 实 验 2 配置 RIPv2 支持 不 连续 子 网 .pkt”， 网 络 拓扑 如 图 6-26 


所 示 。A 区 域 是 192.168.0.0/24 这 个 C 类 网 络 划分 的 子 网 被 B 区 域 192.168.1.0/24 这 个 C 类 
划分 的 子 网 络 给 隔 开 了 ， 对 于 192.168.0.0 这 个 C 类 网 络 划分 的 子 网 就 不 连续 了 。 网 络 中 的 
路 由 器 和 计算 机 已 经 按照 图 中 所 示 的 IP 地 址 进行 了 设置 。 
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这 个 实验 将 会 验证 关闭 RIPv2 的 自动 汇总 ， 使 之 支持 不 连续 子 网 。 


192.168.0.128 
192.168.0.0 192. 168. 0.64 


255. 255.255. 192 
055. 255. 255. 1 255. 255. 255. 192 


全 图 6-26 不 连续 子 网 网 络 拓扑 
操作 步骤 如 下 。 
(1) 在 Router0、Routerl 和 Router2 上 启用 RIP 协议 ， 更 改 为 RIPv2， 运 行 以 下 命令 。 


Router (config) #router rip 

Router (config-router) #network 192.168.0.0 
Router (config-router) #network 192.168.1.0 
Router (config-router) #version 2 


(2) 在 Routerl 上 ， 查 看 路 由 表 。 


Router#show ip route 


Gateway of last resort is not set 
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 
R 192.168.0.0/24 [120/1] via 192.168.1.1, 00:00:11, Serial3/0 
[120/1] via 192.168.1.6, 00:00:12, Serial2/0 
Le 192.168.0.64/26 is directly connected, FastEthernet0/0 
192.168.1.0/30 is subnetted, 2 subnets 
[3 192.168.1.0 is directly connected, Serial3/0 
Le 192.168.1.4 is directly connected, Serial2/0 
可 以 看 到 到 192.168.0.0/24 网 段 有 两 个 路 径 ， 进 行 了 错误 的 汇总 ， 得 到 了 错误 的 路 由 。 
(3) 在 Router0、Routerl 和 Router2 上 关闭 RIPv2 自动 汇总 ， 运 行 以 下 命令 。 
Router (config) #router rip 
Router (config-router) #no auto-summary 
(4) 在 Routerl 上 再 次 查看 路 由 表 。 
Router#clear ip route * =-- 该 命令 用 于 清除 以 前 通过 RIP 学 到 的 路 由 
Router#show ip route 
Router#show ip route 


192.168.0.0/24 is variably subnetted, 3 subnets, 2 masks 


R 192.168.0.0/26 [120/1] via 192.168.1.1, 00:00:07, Serial3/0 
192.168.0.64/26 is directly connected, FastEthernet0/0 

R 192.168.0.128/26 [120/1] via 192.168.1.6, 00:00:00, Serial2/0 
192.168.1.0/30 is subnetted, 2 subnets 

已 192.168.1.0 is directly connected, Serial3/0 

C 192.168.1.4 is directly connected, Serial2/0 


关闭 自动 汇总 后 ， 网 络 中 的 所 有 网 段 都 出 现 了 。 
6.7.3 实验 3: 配置 EIGRP 手动 汇总 


EIGRP 会 自动 在 类 的 边界 自动 汇总 ， 你 可 以 使 用 CIDR 汇总 连续 的 网 络 。 

打开 随 书 光盘 中 第 6 章 “ 实 验 3 配置 EIGRP 手动 汇总 .pkt”， 网 络 拓扑 如 图 6-27 所 示 ， 
网 络 中 的 路 由 器 已 经 配置 好 了 IP 地 址 。 本 实验 可 以 验证 EIGRP 的 自动 汇总 和 配置 EIGRP 
手动 汇总 。 


255 


英 基 


计算 机 网 络 


256 


可 以 看 到 A 区域 的 4 个 连续 的 C 类 网 络 ,可 以 合并 为 192.168.16.0/22。B 区 域 是 10.0.0.0/8 
A 类 网 络 划 分 的 两 个 子 网 。 

你 需要 在 RouterA 和 RouterB 上 配置 EIGRP。 在 RouterA 上 手动 将 192.168.16.0/24、 
192.168.17.0/24、192.168.18.0/24 和 192.168.19.0/24 汇总 成 一 条 路 由 通告 给 RouterB。 


一 入 
PC-PT 
172.16.1.2130 , 10.7.78.0/24 PC4 


gp 1 - 
1 Se 3/0 
Se 2/0 Routér-PT 


er-PT RouterB 1 
RouterA 


PC-PT 
PC1 


192. 168. 17. 0/24 


Pe-pT 192.168.18.0/24 10.7.79.0/24 


一 加 
PC-PT 192. 168. 19. 0/24 
PC3 


6-27 BEIGRP 手动 汇总 
操作 步骤 如 下 。 
(1) 在 RouterA 上 启用 EIGRP。 
RouterA (config) #router eigrp 10 
RouterA (config-router) #network 192.168.16.0 
RouterRA (config-router) #network 192.168.17.0 
RouterA (config-router) #network 192.168.18.0 
RouterA (config-router) #network 192.168.19.0 
RouterA (config-router) #network 172.16.0.0 
(2) 在 RouterB 上 启用 EIGRP。 
RouterB (config) #router eigrp 10 
RouterB (config-router) #network 172.16.0.0 
RouterB (config-router) #network 10.0.0.0 
(3) 在 RouterB 上 查看 路 由 表 。 
RouterB#show ip route 
Gateway of last resort is not set 
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 
D 10.0.0.0/8 is a summary, 00:00:29, Null0 
让 10.7.78.0/24 is directly connected, FastEthernet0/0 
区 10.7.79.0/24 is directly connected, FastEthernet1/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 


172.16.0.0/16 is a summary, 00:00:29, Null0 

172.16.1.0/30 is directly connected, Serial3/0 

192.168.16.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 
192.168.17.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 
192.168.18.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 

D 192.168.19.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 
学 到 了 192.168.16.0/24、192.168.17.0/24、192.168.18.0/24 和 192.168.19.0/24 四 个 网 段 的 
路 由 ， 需 要 手动 汇总 。 

(4) 在 RouterA 上 进行 手动 汇总 。 


RouterRA (config) #interface serial 2/0 


i EC ES 


RouterRA (config-if) #ip summary-address eigrp 10 192.168.16.0 255.255.252.0 
(5) 在 RouterB 上 查看 路 由 表 。 

RouterB#show ip route 

Gateway of last resort is not set 


10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks 


D 10.0.0.0/8 is a summary, 00:09:13, Null0 
D 10.7.78.0/23 is a summary, 00:00:34, Null0 
c 10.7.78.0/24 is directly connected, FastEthernet0/0 
& 10.7.79.0/24 is directly connected, FastEthernet1/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
D 172.16.0.0/16 is a summary, 00:09:13, Null0 
站 172.16.1.0/30 is directly connected, Serial3/0 
D 192.168.16.0/22 [90/20514560] via 172.16.1.1, 00:00:34, Serial3/07 


-- 汇 总 成 一 条 
可 以 看 到 到 达 A 区 域 4 个 C 类 网 络 的 路 由 汇总 成 一 条 。 
(6) 在 RouterA 上 查看 路 由 表 。 
RouterA#show ip route 
D 10.0.0.0/8 [90/20514560] via 172.16.1.2, 00:14:27, Serial2/0 
-- 将 B 区 域 自动 汇总 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
D 172.16.0.0/16 is a summary, 00:24:16, Null0 


C 172.16.1.0/30 is directly connected, Serial2/0 
192.168.16.0/24 is variably subnetted, 2 subnets, 2 masks 
192.168.16.0/22 is a summary, 00:16:44, Null0 
192.168.16.0/24 is directly connected, FastEthernet0/0 
192.168.17.0/24 is directly connected, FastEthernet1/0 


EU 已 


192.168.18.0/24 is directly connected, FastEthernet4/0 
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到 192.168.19.0/24 is directly connected, FastEthernet5/0 


看 第 一 条 路 由 ，EIGRP 默认 在 类 的 边界 自动 汇总 ， 将 B 区 域 的 两 个 子 网 自动 汇总 为 


一 条 。 


6.7.4 实验 4: OSPF 排 错 


打开 随 书 光盘 中 第 6 章 “ 实 验 4 OSPF 排 错 .pkt”， 网 络 拓扑 如 图 6-28 所 示 ， 网 络 中 的 
计算 机 和 路 由 器 已 经 配置 好 了 IP 地址 ，3 个 路 由 器 都 配置 了 OSPF 协议， 工作 在 area 0。 但 
是 PCO 不 能 ping 通 PC2， 你 需要 快速 找到 OSPF 配置 的 错误 并 改正 。 


192. 168. 1. oe 


A 
1%9 2 
1 Ro 


192. 168. 0. 0/24 


操作 步骤 如 下 。 
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从 图 6-28 网 络 拓扑 
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(1) 在 所 有 的 路 由 器 上 运行 以 下 命令 ， 查 看 OSPF 的 配置 。 


Router#show ip Protocols 


注意 观察 network 和 area 的 配置 是 否 正 确 。 如 果 有 错误 ， 改 正 。 
(2) 改正 后 在 所 有 的 路 由 器 上 运行 以 下 命令 查看 路 由 表 。 


Router#show ip route 


Es 


1. 路 由 信息 协议 RIP 是 内 部 网 关 协 议 IGP 中 使 用 得 最 广泛 的 一 种 基于 __(Q) ”的 协 


议 ， 其 最 大 的 优点 是 (2) 
实际 使 用 中 ， 一 个 通路 上 最 多 可 包含 的 路 由 器 数量 是 (3) _， 
是 : 使 到 各 目的 网 络 的 ” (4) _。 


目的 网 络 Y 的 距离 为 N”， 
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。RIP 规定 数据 每 经 过 一 个 路 由 器 ， 跳 数 增加 1。 


更 新 路 由 表 的 原则 
更 新 路 由 表 的 依据 是 : 若 相 邻 路 由 器 说 :“ 我 到 


则 收 到 此 信息 的 路 由 器 K 就 知道 :“ 若 将 下 一 站 路 由 器 


第 6 章 


动态 路 由 “| 


选 为 X， 则 我 到 网 络 Y 的 距离 为 __ 5) _”。 


(1) A. 链 路 状态 路 由 算法 B. 距离 矢量 路 由 算法 
C. 集中 式 路 由 算法 D. 固定 路 由 算法 
(2) A. 简单 B. 可 靠 性 高 
C. 速度 快 D. 功能 强 
(3) A.1 个 了 格林 
8 EE D. 无 数 个 
(4) A. 距离 最 短 B. 时 延 最 小 
C. 路 由 最 少 D. 路 径 最 空闲 
(5) A.N B.N 一 1 
Gi D. N+1 
2. 在 RIP 协议 中 ， 默 认 的 路 由 更 新 周期 是 _ 秒 。 
A.30 B. 60 C.90 D. 100 


3. 以 下 协议 中 支持 可 变 长 子 网 掩 码 (VLSM) 和 路 由 汇聚 功能 (Route Summarization ) 
的 是 8 
A. IGRP B. OSPF ee WE D. RIPv1 
4. 对 路 由 选择 协议 的 一 个 要 求 是 必须 能 够 快速 收敛 ， 所 谓 “ 路 由 收敛 ”是 指 ” _。 
A. 路 由 器 能 把 分 组 发 送 到 预定 的 目标 
B. 路 由 器 处 理 分 组 的 速度 足够 快 
C. 网 络 设备 的 路 由 表 与 网 络 拓扑 机 构 保持 一 致 
D. 能 把 多 个 子 网 汇聚 成 一 个 超 网 
5. 以 下 关于 OSPF 协议 的 描述 中 ， 最 准确 的 是 。 
A. OSPF 协议 根据 链 路 状态 法 计算 最 佳 路 由 
B. OSPF 协议 是 用 于 自治 系统 之 间 的 外 部 网 关 协 议 
C. OSPF 协议 不 能 根据 网 络 通信 情况 动态 地 改变 路 由 
D. OSPF 协议 只 能 适用 于 小 型 网 络 
6. RIPv1 与 RIPv2 的 区 别 是 _。 
A. RIPv1 是 距离 失 量 路 由 协议 ， 而 RIPv2 是 链 路 状态 路 由 协议 
B. RIPv1 不 支持 可 变 长 子 网 掩 码 ， 而 RIPv2 支持 可 变 长 子 网 掩 码 
C. RIPv1 每 隔 30 秒 广播 一 次 路 由 信息 ， 而 RIPv2 每 隔 90 秒 广 播 一 次 路 由 信息 
D. RIPv1 的 最 大 跳 数 为 5， 而 RIPv2 的 最 大 跳 数 为 30 
7. 关于 OSPF 协议 ， 下 面 的 描述 中 不 正确 的 是 _。 
A. OSPF 是 一 种 链 路 状态 协议 
.OSPF 使 用 链 路 状态 公告 (LSA) 扩散 路 由 信息 
. OSPF 网 络 中 用 区 域 1 来 表示 主干 网 段 
. OSPF 路 由 器 中 可 以 配置 多 个 路 由 进程 


一 用 
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局 域 网 组 网 设备 


本 章 提 及 的 交换 ， 都 是 指 的 二 层 交 换 ， 除 非 另 有 所 指 。 下 面 讲解 局 域 网 组 网 技术 的 发 展 
过 程 ， 将 会 为 大 家 介绍 集线器 、 网 桥 和 交换 机 的 特点 。 


7.1.1 集线器 


我 们 在 第 1 章 讲 过 ， 集 线 器 连接 的 网 络 是 一 个 大 的 冲突 域 。 集 线 器 上 的 两 个 结 点 通信 和， 
虽然 数据 帧 目标 MAC 地 址 和 源 MAC 
很 明确 , 但 是 集线器 还 是 将 该 数据 帧 扩 
散 到 所 有 的 端口 , 这 样 就 影响 了 集线器 
上 其 他 的 结 点 进行 数据 通信 , 因此 说 集 
线 器 连接 的 网 络 是 一 个 冲突 域 。 

如 图 7-1 所 示 ， 网 段 中 计算 机 的 
数量 增多 ， 需 要 两 个 集线器 连接 起 来 
以 确保 有 更 多 的 接口 连接 计算 机 ， 这 
样 使 得 冲突 域 增 大 。 集 线 器 连接 的 网 
络 共享 带宽 ， 如果 10M 的 以 太 网 连接 
10 台 计算 机 ,每 个 计算 机 平均 得 到 1M 
带宽 ， 但 是 随 着 计算 机 数量 、 冲 究 的 全 图 7-1 集线器 连接 的 网 络 
增加 ， 每 个 计算 机 得 到 的 带宽 会 小 于 
平均 带宽 。 

有 没有 办 法 将 集线器 组 网 产生 的 大 的 冲突 域 减 小 ? 有 , 那 就 是 在 网 络 中 使 用 网 桥 优 化 集 
线 器 连接 的 网 络 。 


7.1.2 网 桥 


在 两 个 集线器 之 间 连 接 一 个 网 桥 , 网 桥 能 够 基于 MAC 地 址 表 转 发 数据 。 如 图 7-2 所 示 ， 
网 桥 有 两 个 以 太 网 接口 E0 和 E1， 并 且 知 道 E0 对 应 哪些 MAC 地 址 ，E1 对 应 哪些 MAC 地 
址 。 当 计算 机 A 给 计算 机 B 发 送 一 个 数据 帧 ， 集 线 器 将 该 数据 帧 扩散 到 所 有 的 接口 ， 网 桥 
的 E0 接口 收 到 该 数据 帧 ， 查 看 目标 MAC 地 址 0260.8c01.222， 该 目标 MAC 对 应 E0 接口 ， 
于 是 不 转发 到 El 接口 ， 这 样 就 不 影响 计算 机 C 和 计算 机 D 计算 机 的 通信 。 

网 桥 将 一 个 大 的 冲突 域 划 分 成 两 个 冲突 域 ， 冲 突 域 的 数量 增加 了 ， 但 是 冲突 域 减 小 了 。 
网 桥 的 一 个 接口 就 是 一 个 冲突 域 。 

如 果 网 络 中 的 计算 机 发 送 一 个 目标 MAC 地 址 为 FFFF.FFFF.FFFF 的 数据 帧 ， 这 样 的 数 
据 帧 称 为 广播 ， 比 如 ARP 协议 就 是 使 用 广播 解析 对 方 MAC 地 址 的 ， 网 桥 会 将 这 样 的 帧 转 
发 到 除了 发 送 端口 的 所 有 端口 。 所 有 的 端口 在 同一 个 广播 域 。 


网 桥 


MACaddresstable 


oz 个 ~ 0260.8c01.2222 >i ~ 
4 


/ ~\| E1: 0260.8c01.3333 A i: 
4 次 0260.8c01.1111 E1: 0260.8c01.4444 0260.8c01.3333 NN 


/ NS .8c01.4444 
SS 本 iy 0 es Se 
TN 
全 图 7-2 网 桥 优化 网 络 

网 桥 基于 数据 帧 的 源 地 址 构建 MAC 地 址 表 。 刚 接 入 到 网 上 的 网 桥 MAC 地 址 表 是 空 的 ， 
这 时 计算 机 A 给 计算 机 B 发 送 数据 帧 ， 网 桥接 口 E0 将 收 到 该 数据 帧 ， 并 将 该 数据 帧 发 送 到 
网 桥 的 所 有 接口 ， 与 此 同时 ， 将 会 在 MAC 地 址 表 中 记录 E0:026.8c01.1111。 计 算 机 B 给 计 
算 机 A 发 送 数据 帧 ， 网 桥 不 会 将 该 数据 帧 转发 到 E1 端口 ， 因 为 在 MAC 地 址 表 中 已 经 有 关 
于 到 计算 机 A 的 MAC 地址 ， 同 时 也 会 在 MAC 地 址 表 中 记录 E0:026.8c01.2222。 


7.1.3 ”交换 机 


交换 机 (Switch) 是 高 性 能 的 网 桥 ， 
交换 机 可 以 看 做 是 多 端口 的 网 桥 。 网 桥 
是 基于 软件 ， 而 交换 机 基于 硬件 ， 因 为 
交换 机 使 用 ASIC 芯片 来 帮助 它 做 出 数 
据 帧 转发 的 决定 。 构建 MAC 地 址 的 过 程 
和 网 桥 一样 ， 交 换 机 可 以 “学 习 ”MAC 
地 址 ， 并 将 其 存放 在 内 部 地 址 表 中 ， 通 
过 在 数据 帧 的 始 发 者 和 目标 接收 者 之 间 
建立 临时 的 交换 路 径 ， 使 数据 帧 直接 由 


源 地 址 到 达 目的 地 址 。 ee 
如 图 7-3 所 示 ， 交 换 机 和 集线器 相 比 从 
ea A 基于 数据 巅 的 MAC 地 址 转发 数据 
。 交换 机 的 每 一 个 端口 是 一 个 冲 ”后 有 的 唤 吕 大 加 搓 
突 域 。 全 图 7-3 交换 机 的 作用 


"交换 机 的 端口 独 享 带 宽 。 

， ”交换 机 比 集线器 安全 。 

将 目标 MAC 地 址 为 FF-FF-FF-FF-FF-FF 的 数据 帧 发 送 到 所 有 交换 机 的 端口 (除了 发 送 
端口 外 )， 因 此 交换 机 连接 的 网 络 是 一 个 广播 域 。 
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交换 机 有 以 下 功能 。 

" ”构建 MAC 地 址 表 ， 即 地 址 学 习 。 

" ”转发 /过 滤 功 能 。 

如 果 为 了 提供 元 余 而 在 交换 机 之 间 创 建 了 多 个 连接 ， 网 络 中 可 能 出 现 环 路 。 通过 使 用 生 
成 树 协 议 〈Spanning Tree Protocol，STP) 可 以 防止 产生 网 络 环 路 ， 避 免 广播 风暴 。 


7.1.4 查看 交换 机 的 MAC 地 址 表 


打开 随 书 光盘 中 第 7 章 练习 “01 查看 交换 机 的 MAC 地 址 表 .pkt”， 网 络 拓扑 如 图 7-4 
所 示 ， 网 络 中 的 交换 机 直 连 着 3 个 计算 机 、1 个 DHCP 服务 器 和 一 个 集线器 ， 集 线 器 又 连接 
着 两 台 计 算 机 。 网 络 中 的 计算 机 已 经 按照 图 示 的 地 址 配置 完成 。 

你 需要 在 PC4 上 ping PC1、 PC2、 PC3、 PC0 和 DHCP， 人 然后 查看 交换 机 上 的 MAC 
地 址 表 ， 通 过 查看 MAC 地 址 表 确 认 交 换 机 的 哪个 接口 连接 集线器 。 
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全 图 7-4 查看 交换 机 的 MAC 地 址 表 


操作 步骤 如 下 。 

(1) 在 PC4 上 pingPC1、PC2、PC3、PC0 和 了 DHCP 的 IP 地 址 。 

(2) 在 交换 机 上 查看 MAC 地 址 表 。 

Switch>en -- 交 换 机 的 配置 命令 和 路 由 器 类 似 ， 输 入 enable 进入 特权 模式 
Switch#show mac-address-table 


Mac Address Table 


Vlan Mac Address Type Ports 
0000.0c7c.7e49 DYNAMIC Fa0/1 
本 0001.63c6.e338 DYNAMIC Fa0/5 
于 0030.a336.362b DYNAMIC Fa0/4 
1 0030.a3e4.e4c6 DYNAMIC Fa0/4 


1 0090.0cd7.65c8 DYNAMIC 。 Fa0/2 
1 00d0.ffce.0eb4 DYNAMIC Fa0/3 
通过 以 上 MAC 地 址 表 可 以 看 到 ，Fa0/4 接口 对 应 着 两 个 MAC 地 址 , 可 以 断定 该 接口 连 
接 集线器 。 


7.1.5 交换 机 上 配置 监控 端口 


交换 机 是 基于 MAC 地 址 转发 数据 包 的 ， 比 起 集线器 来 说 更 安全 。 如 图 7-5 所 示 ， 在 交 
换 机 组 建 的 网 络 中 的 监控 计算 机 上 安装 数据 包 捕 获 软件 ,用 以 监控 和 分 析 网 络 中 的 流量 。 监 
控 计 算 机 只 能 监控 自己 发 出 的 数据 帧 、 发 给 自己 的 数据 帧 ， 以 及 广播 和 多 播 数 据 帧 ， 但 是 
PC0、PC1 和 PC2 访问 Internet 的 流量 ， 监 控 计 算 机 则 不 能 捕获 ， 因 为 交换 机 不 向 连接 监控 
计算 机 的 端口 Fa0/12 转发 数据 帧 。 

如 果 你 想 监控 PC0、PC1 和 PC2 访问 Intemet 的 流量 ， 这 些 流量 都 由 交换 机 的 Fa0/11 转 
发 到 路 由 器 ， 如 果 想 让 监控 计算 机 捕获 到 这 些 流量 ， 你 需要 配置 Fa0/12 监控 Fa0/11。 这 样 ， 
发 送 给 Fa0/11 端口 的 数据 帧 和 来 自 Fa0/11 端口 的 数据 ， 交 换 机 也 会 发 送 给 Fa/12 端口 ， 如 
此 捕 包 软件 才能 捕获 。 


Cloud-PT 
Internet 


1841 
Router0 


3 Fa0/12 监 视 Fa0/11 
下 CE 
PC2 
全 图 7-5 配置 交换 机 监控 端口 
1. 实验 环境 
packet Tracer 不 支持 该 实验 ， 因 此 你 只 能 在 物理 设备 上 进行 配置 和 测试 。 
2. 实验 目标 


配置 端口 FastEthernet 12 监视 FastEthernet 11。 
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3. 操作 步骤 
(1) 指定 监控 端口 。 监 控 端 口 和 被 监控 端口 必须 属于 同一 个 session 编号 。 


SW7 (config) #monitor session 2 destination interface FastEthernet 0/12 
(2) 指定 被 监控 端口 。 

SW7 (config) #monitor session 2 source interface FastEthernet 0/11 

(3) 查看 监控 和 被 监控 端口 ， 如 图 7-6 所 示 。 


SW7#show monitor session 2 


如 果 企 业 的 网 络 非 六 院 的 网 络 )。 为 了 避免 汇聚 层 和 核心 层 设备 故障 造成 
网 络 故障 ， 可 以 设计 成 双核 心 层 和 双汇 聚 层 。 

如 图 7-7 所 示 ， 网 络 交换 机 C、D 和 EE 是 接 入 层 交 换 机 ， 交 换 机 A、B 是 汇聚 层 交 换 机 ， 
很 显然 是 双汇 聚 层 。 


。 元 余 拓 扑 产 生 广播 风暴 
。 页 余 拓 扑 产生 MAC 地 址 表 混 乱 
A 图 7-7 元 余 拓扑 

这 样 网 络 中 就 有 很 多 环 路 , 如 果 Server 发 送 一 个 广播 数据 帧 , 该 数据 帧 将 会 在 任意 一 个 
环 路 中 无 休止 地 转发 ， 造 成 广播 风暴 ， 网 络 堵塞 。 
如 何 既 能 实现 网 络 有 宛 余 拓扑 , 又 能 避免 环 路 。 这 就 需要 讲 到 交换 机 的 一 个 重要 的 功能 ， 
也 即 下 面 要 介绍 的 交换 机 生成 树 协议 。 
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7.2.1 生成 树 协 议 


生成 树 协议 〈STP ) 最 早 是 由 数字 设备 公司 (Dig ital Equipment Corporation，DEC) 开 
发 的 ， 这 个 公司 后 来 被 收购 并 改名 为 Compaq 公司 。IEEE 后 来 开发 了 它 自 己 的 STP 版 本 ， 
称 为 802.1D。 Cisco 交换 机 默认 运行 STP 的 IEEE 802.1D 版 本 , 它 与 DEC 版 本 不 兼容 。Cisco 
在 其 新 出 品 的 交换 机 上 使 用 了 另 一 个 工业 标准 ， 称 为 802.1w， 这 一 节 介绍 STP， 但 先 要 定 
义 一 些 有 关 STP 的 重要 而 基本 的 概念 。 

STP 的 主要 任务 是 阻止 在 第 2 层 网 络 〈 网 桥 或 交换 机 ) 上 产生 网 络 环 路 。 它 警惕 地 监控 
着 网 络 中 的 所 有 链 路 ,通过 关闭 任何 元 余 的 接口 来 确保 在 网 络 中 不 会 产生 环 路 。STP 采用 生 
成 树 算法 STA (Spanning Tree Algorithm)， 它 首先 创建 一 个 拓扑 数据 库 ， 然 后 搜索 并 破坏 掉 
元 余 的 链 路 。 运行 了 STA 算法 之 后 ,， 帧 就 只 能 被 转发 到 保险 的 、 由 STP 挑选 出 来 的 链 路 上 。 


7.2.2 ”生成 树 术 语 


在 详细 讨论 STP 怎样 在 网 络 中 起 作用 之 前 ， 需 要 理解 一 些 基本 的 概念 和 术语 ， 以 及 它 
们 是 怎样 与 第 2 层 交 换 式 网 络 联系 在 一 起 的 (下 面 提 到 的 桥 就 理解 为 交换 机 )。 

”， 根 桥 (Rootbridge) : 是 桥 ID 最 低 的 网 桥 ， 也 就 是 根 交换 机 。 对 于 STP 来 说 ， 关 
键 的 问题 是 为 网 络 中 所 有 的 交换 机 推选 一 个 根 桥 , 并 让 根 桥 成 为 网 络 中 的 焦点 。 在 
网 络 中 ,所 有 其 他 的 决定 (比如 哪 一 个 端口 要 被 阻塞 ， 哪 一 个 端口 要 被 置 为 转发 模 
式 ) 都 是 根据 根 桥 的 判断 来 做 出 选择 的 。 

" 桥 协 议 数据 单元 (Bridge Protocol Data Unit，BPDU) : 所 有 的 交换 机 相互 之 间 都 
交换 信息 ,并 利用 这 些 信息 来 选 出 根 交换 机 或 进行 网 络 的 后 续 配置 。 每 台 交 换 机 都 
对 BPDU 中 的 参数 进行 比较 ， 它 们 将 BPDU 传送 给 革 个 邻居 ， 并 在 其 中 放 入 它们 
从 其 他 邻居 那里 收 到 的 BPDU。 

" ” 桥 ID (BridgeID) : STP 利用 桥 ID 来 跟踪 网 络 中 的 所 有 交换 机 。 桥 ID 是 由 桥 优 
先 级 (在 所 有 的 Cisco 交换 机 上 ， 默 认 的 优先 级 为 32768) 和 MAC 地 址 的 组 合 来 
决定 的 。 在 网 络 中 ， 桥 ID 最 小 的 网 桥 就 称 为 根 桥 。 

" ” 非 根 桥 (Nonrootbridge): 除了 根 桥 外 ， 其 他 所 有 的 网 桥 都 是 非 根 桥 。 它 们 相互 之 
间 都 交换 BPDU， 并 在 所 有 交换 机 上 更 新 STP 拓扑 数据 库 ， 以 防止 环 路 ， 并 对 链 
路 失效 采取 补救 措施 。 

”端口 开销 (Portcost) : 当 两 台 交 换 机 之 间 有 多 条 链 路 且 都 不 是 根 端口 时 ， 就 根据 
端口 开销 来 决定 最 佳 路 径 。 链 路 的 开销 取决 于 链 路 的 带宽 。 

=”， 根 端口 (Rootport) : 是 指 直接 连 到 根 桥 的 链 路 所 在 的 端口 ， 或 者 到 根 桥 的 路 径 最 
短 的 端口 。 如 果 有 多 条 链 路 连接 到 根 桥 , 就 通过 检查 每 条 链 路 的 带宽 来 决定 端口 的 
开销 ， 开 销 最 低 的 端口 就 成 为 根 端口 。 如 果 多 条 链 路 的 开销 相同 ， 就 使 用 桥 ID 小 
一 些 的 那个 桥 。 如 果 多 条 链 路 来 自 同 一 台 设 备 ， 就 使 用 端口 号 最 低 的 那 条 链 路 。 

" ”指定 端口 (Designated Port) : 有 最 低 开销 的 端口 就 是 指定 端口 ， 指 定 端口 被 标记 
为 转发 端口 。 
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= ， 非 指定 端口 (Nondesignated Port) : 是 指 开销 比 指定 端口 高 的 端口 ， 非 指定 端口 将 
被 置 为 阻塞 状态 ， 它 不 是 转发 端口 。 

= ”转发 端口 (Forwarding Port) : 是 指 能 够 转发 帧 的 端口 。 

" ”阻塞 端口 (Blocked Port) : 是 指 不 能 转发 帧 的 端口 ， 这 样 做 是 为 了 防止 产生 环 路 。 
然而 ， 被 阻塞 的 端口 将 始终 监听 帧 。 


7.2.3 ”生成 树 的 操作 


正如 前 面 提 到 的 ，STP 的 任务 是 找到 网 络 中 的 所 有 链 路 ， 并 关闭 任何 宛 余 的 链 路 ， 这 样 
就 可 以 防止 网 络 环 路 的 产生 。 为 了 达到 这 个 目的 ，STP 首先 需要 选举 一 个 根 桥 ， 由 根 桥 来 负 
责 决定 网 络 拓扑 。 一 旦 所 有 的 交换 机 都 同意 将 某 台 交换 机 选举 为 根 桥 ， 其 余 的 交换 机 就 必须 
找到 其 唯一 的 根 端口 。 在 两 台 交换 机 之 间 的 每 一 条 链 路 必须 有 唯一 的 指定 端口 , 在 那 条 链 路 
上 的 端口 提供 到 根 桥 最 大 的 带宽 。 

下 面 将 以 如 图 7-8 所 示 的 网 络 设备 讲解 生成 树 的 过 程 。 生 成 树 的 操作 分 为 以 下 三 步 。 

(1) 选举 根 桥 。 

(2) 非 根 桥 交 换 机 确定 根 端口 。 

(3) 每 个 链 路 选 定 一 个 指定 端口 。 


SwitchB 
SwitchA 认 优 先 级 32768 
默认 优先 级 32768 MAC 0c0011111111 
MAC 0c0022222222 RootBridge 


RP mo Db 
人 和 
i 于 RP 100M 


国 Co oon 
| 
EI 

蒂 宽 100M EE 


El RP -- 根 端口 
Ann | DF - 指 兴 


全 图 7-8 生成 树 操作 


1. 选举 根 桥 

在 以 上 网 络 中 有 A、B、C、D、E 和 下 六 个 路 由 器 ， 网 桥 ID 最 小 的 将 被 选举 为 根 桥 。 
网 桥 ID 为 8 个 字 节 长 ， 其 中 包括 设备 的 优先 级 和 MAC 地 址 ,在 运行 IEEE STP 版 本 的 所 有 
设备 上， 默认 优先 级 都 为 32768。 优 先 级 相同 ，MAC 地 址 最 小 的 将 被 选举 为 根 桥 。 

默认 每 隔 2 秒 钟 发 送 一 次 BPDU, 它 被 发 送 到 网 桥 /交换 机 的 所 有 活动 端口 上 ,通过 BPDU 
选举 根 桥 。 在 本 例 中 ， 交 换 机 A 和 交换 机 B 优先 级 相同 ， 交 换 机 B 的 MAC 地 址 为 
0c0011111111， 比 交换 机 A 的 MAC 地 址 0c0022222222 小 ， 交 换 机 B 就 更 加 有 可 能 成 为 根 
桥 。 你 可 以 更 改 交 换 机 的 优先 级 ， 来 指定 成 为 根 桥 的 首选 和 备用 交换 机 。 在 本 示例 中 很 显然 
让 交换 机 A 和 交换 机 B 成 为 首选 和 备用 根 交 换 机 最 好 ,因为 这 两 个 交换 机 为 汇聚 层 交 换 机 。 
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本 示例 假设 交换 机 B 是 所 有 交换 机 中 MAC 地 址 最 小 的 ， 选 举 为 根 网 桥 。 

2. 选举 根 端口 

确定 了 根 网 桥 后 ， 交 换 机 A、C、D、E 和 EF 为 非 根 桥 ， 这 些 交 换 机 需要 查看 哪些 端口 
到 根 交换 机 距离 近 ， 带 宽 越 高 距离 就 越 近 。 对 于 C 交换 机 来 说 到 达 根 网 桥 最 近 的 端口 是 E0。 
因此 E0 接口 就 被 选举 为 根 端口 。 根 端口 转发 数据 帧 。 

3. 选举 指定 端口 

直 白 一 点 来 说 ， 就 是 每 根 网 线 ， 都 要 比较 看 哪 一 端 距离 根 桥 近 。 距 离 根 桥 近 的 那 一 端 连 
接 的 端口 为 指定 端口 。 由 于 A 和 B 交换 机 之 间 的 连接 带宽 为 1000M， 因 此 A 交换 机 的 E1、 
E2、E3 和 E4 端口 比 交换 机 C、D、E 和 下 的 El 端口 距离 根 桥 近 ， 因 此 A 交换 机 的 E1、E2、 
E3 和 E4 端口 成 为 指定 端口 。 根 桥 的 所 有 端口 都 是 指定 端口 。 指 定 端口 转发 数据 帧 。 

4. 非 指 定 端口 

确定 了 根 端口 和 指定 端口 , 剩 下 的 端口 就 是 非 指定 端口 , 非 指定 端口 将 被 置 为 阻塞 状态 ， 
不 是 转发 端口 。 本 示例 交换 机 C、D、E 和 F 的 El 接口 就 是 非 指定 端口 。 虽 然 不 能 转发 帧 ， 
但 仍然 可 以 接收 帧 ， 包 括 BPDU。 


7.2.4 ”生成 树 的 端口 状态 


对 于 运行 STP 的 网 桥 或 交换 机 来 说 ， 其 端口 状态 会 在 下 列 5 种 状态 之 间 转 变 。 

" ”阻塞 (Blocking)〉: 被 阻塞 的 端口 将 不 能 转发 帧 ， 它 只 监听 BPDU。 设 置 阻塞 状 
态 的 意图 是 防止 使 用 有 环 路 的 路 径 。 当 交换 机 加 电 时 ， 默 认 情况 下 所 有 的 端口 都 
处 于 阻塞 状态 。 

=。 侦 听 (Listening) :端口 都 侦 听 BPDU， 以 确信 在 传送 数据 帧 之 前 ， 在 网 络 上 没有 
环 路 产生 。 侦 听 状 态 的 端口 ， 在 没有 形成 MAC 地 址 表 时 ， 就 准备 转发 数据 帧 。 

= 学习 (Learning) : 交换 机 端口 侦 听 BPDU， 并 学 习 交 换 式 网 络 中 的 所 有 路 径 。 处 
在 学 习 状 态 的 端口 形成 MAC 地 址 表 ， 但 不 能 转发 数据 帧 。 转 发 延迟 意味 着 将 端口 
从 侦 听 状态 转换 到 学 习 状 态 所 花费 的 时 间 ， 默 认 设 置 为 15 秒 ， 可 以 用 命令 
showspanning-tree 显示 出 来 。 

" ”转发 (Forwarding) : 在 桥接 的 端口 上 ， 处 在 转发 状态 的 端口 发 送 并 接收 所 有 的 数据 
帧 。 如 果 在 学 习 状态 结束 时 ， 端 口 仍然 是 指定 端口 或 根 端口 ， 它 就 进入 转发 状态 。 

" ”禁用 (Disabied: 从 管理 上 讲 ， 处 于 禁用 状态 的 端口 不 能 参与 帧 的 转发 或 形成 STP。 
处 于 禁用 状态 下 ， 端 口 实质 上 是 不 工作 的 。 
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大 多 数 情况 下 , 交换 机 端口 都 处 在 阻塞 或 转发 状态 。 转 发 端口 是 指 到 根 桥 的 开销 最 低 的 
端口 ， 但 如 果 网 络 的 拓扑 改变 (可 能 是 链 路 失效 了 ， 或 者 有 人 添加 了 一 台新 的 交换 机 )， 交 
换 机 上 的 端口 就 会 处 于 侦 听 或 学 习 状态 。 
正如 前 面 提 到 的 , 阻塞 端口 是 一 种 防止 网 络 环 路 的 策略 。 一旦 交换 机 决定 了 到 根 桥 的 最 
佳 路 径 ， 那 么 所 有 其 他 的 端口 将 处 于 阻塞 状态 。 被 阻塞 的 端口 仍然 能 接收 BPDU， 它 们 只 是 
不 能 发 送 任何 帧 。 


7.2.5 ”确认 和 更 改 根 桥 


打开 随 书 光盘 中 第 7 章 练习 “02 确认 和 更 改 根 网 桥 .pkt”， 可 以 看 到 网 络 拓扑 如 图 7-9 
所 示 ， 双 汇聚 层 设计 ，SwitchA 连接 SwitchC、SwitchD 和 SwitchE 的 端口 ， 处 于 阻 断 状态 ， 
可 以 断定 SwitchA 不 是 根 交 换 机 ， 因 为 根 交换 机 的 所 有 端口 肯定 是 转发 状态 。 

你 需要 确认 网 络 中 的 根 桥 。 需 要 指定 SwitchA 作为 首选 根 网 桥 , SwitchB 作为 备用 根 桥 。 
这 就 需要 更 改 网 桥 优 先 级 。 


2 J 
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SwitchE 
PC-PT 
PC7 
全 图 7-9 网 络 拓扑 
操作 步骤 如 下 。 
(1) 在 SwitchA 上 ， 查 看 VLAN 1 的 生成 树 ， 查 看 根 网 桥 。 
Switch>en -- 进 入 特权 模式 
Switch#show spanning-tree vlan 1 -- 查 看 VLAN 1 的 生成 树 ， 默 认 所 有 接口 都 在 VLAN1 
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Root ID Priority 32769 =-- 这 是 根 桥 的 优先 级 
Rddress 0002.4A63.C9B6 ”-- 这 是 根 桥 的 MAC 地 址 
Cost 4 
Port 6 (GigabitEthernet5/1)  -- 使 用 G5/1 这 个 接口 和 根 桥 连 接 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 

-- 这 是 Switcha 的 优先 级 

Rddress 00E0.F780.208C -- 这 是 Switch&R 的 MAC 地址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 

Gi5/1 Root FWD 4 128.6  P2P -FWD 代表 转发 状态 
Gi6/1 Altn BLK 4 128.7 P2P =--BLK 代表 阻 断 状态 
国语 7 人 Altn BLK 4 128.8 P2P 

Gi8/1 Altn BLK 4 128.9  P2P 


可 以 断定 SwitchA 不 是 根 桥 ， 因 为 Root ID 和 Bridge ID 不 同 ， 网 桥 ID 是 由 优先 级 和 
MAC 地 址 构成 的 。 

(2) 更 改 SwitchA 的 生成 树 优先 级 ， 使 其 成 为 首选 根 桥 。 

Switch#config t -- 进 入 全 局 配置 模式 


Switch (config) #spanning-tree vlan 1 priority ? -更 改 VLAN1 的 生成 树 优先 级 
<0-61440> bridge priority in increments of 4096 
=-- 可 以 看 到 优先 级 值 的 范围 
Switch (config) #spanning-tree vlan 1 priority 23 ”-- 随 便 输入 一 个 值 


% Bridge Priority must be in increments of 4096. 
=-- 提 示 网 桥 优先 级 值 增 量 为 4096 
% Allowed values are: =-- 显 示 所 有 可 用 的 网 桥 优 先 级 值 
0 4096 8192 12288 16384 20480 24576 28672 
32768 36864 40960 45056 49152 53248 57344 61440 
Switch (config) #spanning-tree vlan 1 priority 4096 
-将 网 桥 优先 级 的 值 更 改 为 4096 
(3) 注意 观察 网 络 中 的 阻 断 端 口 发 生变 化 。 
(4) 在 SwitchA 上 运行 以 下 命令 ， 查 看 新 选举 的 根 网 桥 。 
Switch#show spanning-tree vlan 1 
VLRAN0001 
Spanning tree enabled Protocol ieee 


Root ID Priority 4097 =-- 根 网 桥 优先 级 
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Rddress 00E0.F780.208C =-- 根 网 桥 MAC 地 址 

This bridge is the root 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority “4097 (priority 4096 sys-id-ext 1) -- 网 桥 优先 级 

Address 00E0.F780.208C -- 网 桥 MAC 地 址 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 

Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 

Gi5/1 Desg FWD 4 128.6  P2P -- 转 发 状态 
Gi6/1 Desg FWD 4 :by 0 2 -- 转 发 状态 
[人 Desg FWD 4 128.8 P2P -- 转 发 状态 
Gi8/1 Desg FWD 4 128.9  P2P -- 转 发 状态 


可 以 看 到 更 改 网 桥 的 优先 级 后 ，Root ID 和 Bridge ID 都 是 SwitchA 了 ， 这 说 明 SwitchA 
是 根 桥 ， 并 且 所 有 的 端口 都 处 于 转发 状态 。 
(5) 在 SwitchB 上 运行 以 下 命令 ， 更改 其 网 桥 优先 级 ， 将 其 设置 为 备用 根 网 桥 。 


Switch (config) #spanning-tree vlan 1 priority 12288 


7.2.6 ”关闭 VLAN 1 的 生成 树 


如 果 你 确信 和 网络 中 的 交换 机 没有 环 路 ， 并 且 将 来 也 不 会 产生 环 路 , 可 以 使 用 以 下 命令 将 
VLAN 1 的 生成 树 关 闭 。 


Switch (config) #no spanning-tree vlan 1 


【 必 届 优化 生成 树 


当 网 络 中 的 交换 机 数量 增加 或 链 路 有 变化 时 , 所 有 交换 机 会 重新 进行 生成 树 操作 来 确定 
阻 断 端口 和 转发 端口 。 在 完成 重新 计算 之 前 ， 交 换 机 不 能 转发 任何 数据 。 完 成 计算 之 后 ， 才 
能 转发 数据 ， 这 个 过 程 需要 的 时 间 就 是 生成 树 的 收敛 时 间 。 在 交换 机 端口 上 ， 生 成 树 拓扑 从 
阻塞 到 转发 的 典型 收敛 时 间 为 50 秒 。 也 就 是 说 网 络 拓扑 有 变化 ， 网 络 会 中 断 50 秒 。 通 过 将 
汇聚 层 或 核心 层 交 换 机 设置 为 根 桥 ， 可 以 使 生成 树 收敛 得 又 快 又 好 。 


7.3.1 生成 树 快速 端口 


如 果 交 换 机 接口 连接 的 是 计算 机 ， 可 以 将 这 些 端口 设置 为 快速 端口 (PortFasty， 这 就 意 
味 着 ， 当 STP 正在 收敛 时 ， 端 口 不 会 花费 通常 的 50 秒 才 进 入 转发 状态 。 
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打开 随 书 光盘 中 第 7 章 练习 “02 确认 和 更 改 根 网 桥 .pkt”， 在 SwitchC 上 ， 运 行 以 下 命 
令 ， 将 连接 计算 机 的 接口 FastEthernet 0/1 - FastEthernet 2/1 配置 成 快速 端口 。 

Switch (config) #interface range FastEthernet 0/1 - FastEthernet 2/1 

Switch (config-if-range) #spanning-tree Portfast 

如 果 将 一 个 接口 配置 快速 端口 ， 运 行 以 下 命令 。 

Switch (config) #interface range FastEthernet 0/1 


Switch (config-if) #spanning-tree Portfast 


7.3.2 ”生成 树 上 行 链 路 快速 


上 行 链 路 快速 CUplinkFast) 是 Cisco 产品 的 特性 ， 当 链 路 失效 时 ， 它 可 用 来 改进 STP 
的 收敛 时 间 。 当 交换 机 至 少 有 一 个 可 选 /备份 的 根 端口 (处 于 阻 断 状态 的 端口 ) 时 , UplinkFast 
允许 在 主 链 路 失效 前 ， 找 到 根 的 可 选 路 径 。 这 就 意味 着 如 果 主 链 路 失效 ， 备 份 链 路 将 被 更 
快 启 用 。 如 图 7-10 所 示 ， 在 接 入 层 交 换 机 启用 UplinkFast。 如 果 在 SwitchE 上 启用 了 
UplinkFast， 当 主 链 路 正常 连接 时 ， 就 已 经 选 好 了 备用 链 路 ， 当 主 链 路 失效 后 ， 备 用 链 路 
将 更 快 地 启用 。 


SwitchE 


< 
PC-PT 
PC7 


全 图 7-10 网 络 拓扑 
在 SwitchE 上 启用 UplinkFast: 


Switch (config) #spanning-tree uplinkfast 


这 是 一 个 全 局 配置 命令 ，Packet Tracer 软件 模拟 的 交换 机 则 不 支持 。 
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7.3.3 ”启用 快速 生成 树 协议 ( RSTP ) 802.1w 


你 可 以 更 改 生 成 树 协议 的 模式 将 其 设置 成 快速 生成 树 协 议 (Rapid Spanning Tree 
Protocol，RSTP)， 这 样 上 面 讨论 的 PortFast 和 UplinkFast 的 功能 都 内 置 了 。 

Cisco 创建 了 PortFast、UplinkFast 来 “修补 ”IEEE 802.1d 标准 中 的 漏洞 和 缺陷 。 这 些 
改进 特性 的 不 足 之 处 仅 在 于 ， 它 们 是 Cisco 专用 的 且 需 要 进行 额外 的 配置 。 但 新 的 802.1w 
标准 (RSTP) 将 所 有 这 些 “ 问 题 ”都 解决 了 只 需要 打开 RSTP 就 可 以 了 。 重 要 的 是 ， 
必须 确信 网 络 中 所 有 的 交换 机 都 在 正确 地 运行 802.1w 协议 。 


Switch (config) #spanning-tree mode rapid-pvst 


网 络 对 安全 要 求 高 的 不 愿意 外 单位 的 人 随便 将 自己 的 笔记 本 电脑 接 入 公司 的 网 络 。 比 如 
河北 师 大 软件 学 院 的 教室 为 本 学 院 学 生 提供 了 免费 网 络 接 入 以 便 学 生 能 随时 访问 Internet 查 
询 资料 和 学 院内 网 提交 作业 。 突 然 有 一 天 ,发现 自习 时 间 , 教室 里 有 其 他 学 院 的 学 生 接 入 笔 
记 本 电脑 上 网 聊天 、 玩 游戏 。 如 何 避 免 其 他 学 院 的 学 生 使 用 软件 学 院 的 网 络 ? 这 就 需要 设置 
交换 机 的 端口 和 计算 机 进行 绑 定 ， 实 现 交 换 机 端口 的 安全 。 


7.4.1 端口 和 MAC 地 址 绑 定 


前 面 讲 过 计算 机 的 网 卡 有 MAC, 且 全 球 唯一 。 
要 设置 交换 机 的 端口 和 计算 机 进行 绑 定 ， 你 只 需 
要 设置 交换 机 的 端口 和 计算 机 的 MAC 地址 进行 
绑 定 即 可 。 

打开 随 书 光盘 中 第 7 章 练习 “03 交换 机 端口 
和 计算 机 绑 定 .pkt”， 网 络 拓扑 如 图 7-11 所 示 , 计 ”加 二 ;二 
算 机 和 DHCP 服务 器 的 IP 地址 已 经 配置 完成 。 你 MB ee oer 


PC0 DHCP 
需要 设置 交换 机 的 端口 和 现在 的 计算 机 的 MAC 0 2 
地 址 进行 绑 定 。 192. 168. 0. 0/24 
(1) 使 用 PC0 ping PC1、PC2 和 DHCP, 这 样 全 图 7-11 网 络 拓扑 


交换 机 就 能 构造 MAC 地 址 表 。 
(2) 查看 交换 机 的 MAC 地 址 表 。 
Switch#show mac-address-table 
Mac Address Table 


Vlan Mac Address Type Ports 


1 0000.0c7c.7e49 DYNAMIC Fa0/4  --DYNRMIC 表示 是 动态 学 习 到 的 
1 0001.63c6.e338 DYNAMIC Fa0/2 
1 0090.0cd7.65c8 DYNAMIC Fa0/1 
1 00gd0.ffce.0eb4 DYNAMIC Fa0/3 


(3) 将 上 面 显示 的 MAC 地 址 和 交换 机 端口 进行 绑 定 。 
Switch#config 七 -- 进 入 全 局 配置 模式 
Switch (config) #interface range fastEthernet 0/1 一 4 
-- 这 种 方式 可 以 配置 接口 1 一 4 
Switch (config-if-range) #switchport mode access 
=-- 将 交换 机 端口 设置 为 access， 明 确 该 端口 连接 的 是 计算 机 
Switch (config-if-range) #switchport port-security 
-- 在 交换 机 端口 启用 安全 
Switch (config-if-range) #switchport Port-security violation shutdown 
-- 违 反 安 全 规则 后 禁用 
Switch (config-if-range) #switchport port-security mac-address sticky 
-- 将 上 面 的 动态 的 MAC 地 址 和 端口 进行 绑 定 
以 上 命令 必须 依次 执行 ， 顺 序 颠 倒 会 出 现 错误 。 
(4) 再 次 查看 MAC 地 址 表 。 
Switch#show mac-address-table。 


Mac Address Table 


Vlan Mac Address Type Ports 
1 0000.0c7c.7e49 STATIC Fa0/4 -- 可 以 看 到 类 型 变 为 STATIC 
1 0001.63c6.e338 ”STATIC Fa0/2 -- 可 以 看 到 类 型 变 为 STATIC 
0090.0cd7.65c8 STATIC Fa0/1 -- 可 以 看 到 类 型 变 为 STATIC 
1 ， 00d0.ffce.0eb4 STATIC Fa0/3 -- 可 以 看 到 类 型 变 为 STATIC 


可 以 看 到 FastEthernet 0/1 一 4 对 应 的 MAC 地址 为 STATIC ,不 会 过 期 , 且 不 再 动态 学 习 。 
如 果 MAC 地 址 表 为 空 ， 请 重复 步 又， 因为 DYNAMIC 的 条 目 过 一 段 时 间 就 删除 了 。 
(5) 查看 配置 。 


Switch#show running-config 


interface FastEthernet0/1 

switchport mode access 

switchport port-security 

switchport Port-security mac-address sticky 


switchport port-security mac-address sticky 0090.0CD7.65C8 
你 能 看 到 Interface FastEthernet 0/1 一 4 的 端口 安全 设置 。 
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(6) 保存 配置 。 
Switch#copy running-config startup-config 


=-- 将 以 上 配置 保存 ， 交 换 机 重启 ， 端 口 安全 设置 依旧 在 。 
(7) 验证 违反 后 端口 被 自动 禁用 。 
如 图 7-12 所 示 , 更 改 PCI1 网 卡 的 MAC 地 址 ,将 0001.63C6.E338 更 改 为 0001.63C6.E339， 


你 会 立即 发 现 交换 机 上 连接 PC1 的 端口 变 红 ， 说 明 该 接口 已 经 被 禁用 。 使 用 PC0 ping PC1 
的 IP 地 址 ， 不 通 。 


螺 pcl 四 本 Ex | 


Physical | Confg | Desktop 


(Go _- 3 
Fr FastEthernet 
[atorm setings, | Port Stas [ 
INTERFACE Bandwidth 回 
L_nsememe |] 10 Mbps 司 100 Mbps 
Duplex 加 
® Ful Duplex Half Duplex 时 


JP configuration 
DHCP 

司 Static 

Ip Address 

Subnet Mask 


192.168.0.11 
255.255.255.0 


Jpv6 Configuration 
Unk Local Adaress: 
DHCP 
Auto Config 
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全 图 7-12 更 改 MAC 地 址 
如 果 你 不 嫌 麻 烦 ， 可 以 一 个 一 个 地 对 每 一 个 交换 机 端口 进行 和 MAC 地 址 的 绑 定 。 
Switch (config) #interface fastEthernet 0/2 
Switch (config-if) #switchport mode access 
Switch (config-if) #switchport port-security 
Switch (config-if) #switchport port-security violation shutdown 


Switch (config-if) #switchport port-security mac-address 0001.63C6.E338 


以 下 命令 关闭 交换 机 端口 安全 设置 (在 Packet Tracer 软件 模拟 的 交换 机 上 ， 需 要 关闭 


Packet Tracer， 保 存 ， 青 次 打开 ， 设 置 生效 )。 


7.4.2 


Switch (config-if) #no switchport port-security 


控制 端口 连接 计算 机 的 数量 


在 交换 机 的 端口 上 还 可 以 设置 某 个 端口 能 够 连接 的 计算 机 数量 。 打开 随 书 光盘 中 第 7 章 


练习 “04 控制 端口 连接 计算 机 的 数量 .pkt”， 网 络 拓扑 如 图 7-13 所 示 ， 河 北 师 大 软件 学 院 网 
络 教研 室 通 过 交换 机 Switchl 和 学 院 机 房 的 交换 机 Switch0 的 Fa0/4 相连 。 网 络 教研 室 目 前 


两 台 计 算 机 ， 学 院 的 IT 管理 员 不 希望 网 络 教研 室 随 便 在 Switchl 上 连接 更 多 的 计算 机 。 


可 以 设置 Switch0 的 Fa0/4 接口 的 安全 来 实现 。 
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全 图 7-13 网 络 拓扑 
(1) 在 交换 机 Switch0 上 的 设置 : 配置 端口 安全 。 
Switch>en 
Switch#config 七 
Switch (config) #interface fastEthernet 0/4 
Switch (config-if) #switchport mode access 
Switch (config-if) #switchport port-security 
Switch (config-if) #switchport port-security violation shutdown 
Switch (config-if) #switchport port-security maximum 2 
(2) 你 可 以 将 PC2 的 网 线 连接 到 Switch1， 然 后 使 用 PC3 ping PC0、PC1 和 PC2。 可 以 
看 到 Switch0 的 F0/4 端口 关闭 。 


rE VLAN 


交换 机 虽然 比 网 桥 和 集线器 的 性 能 高 ， 并 且 独 享 端口 带宽 ， 每 一 个 端口 是 一 个 冲突 域 ， 
但 是 使 用 交换 机 组 建 的 网 络 在 同一 网 段 中 的 计算 机 数量 却 不 能 太 多 ， 为 什么 呢 ? 

前 面 讲 过 交换 机 隔绝 冲突 域 ， 但 是 如 果 网 络 中 的 计算 机 发 送 广播 帧 ， 即 目标 MAC 地 址 
为 FFFF.FFFF.FFFF.FFFF 的 交换 机 将 这 类 帧 发 送 到 所 有 端口 。 同 一 网 段 内 计算 机 数量 增多 ， 
发 送 广播 的 帧 也 就 增多 ， 将 会 消耗 更 多 的 带宽 。 如 果 某 个 计算 机 中 了 ARP 病毒 仍 在 网 上 大 
量 发 送 广播 ， 将 会 造成 网 络 堵塞 ; 或 者 有 MAC 地 址 欺骗 的 病毒 ， 将 会 影响 同一 网 段 内 所 有 
计算 机 的 网 络 互 连 。 

出 于 安全 考虑 ， 公 司 的 网 络 规划 有 可 能 将 同一 个 部 门 的 计算 机 放置 到 一 个 网 段 ， 或 安全 
性 要 求 一 致 的 计算 机 放置 到 一 个 网 段 ， 而 不 是 按照 计算 机 的 物理 位 置 划分 网 段 。 比 如 ， 将 能 
够 访问 Internet 的 计算 机 放置 到 一 个 网 段 ， 然 后 在 防火 墙 上 进行 配置 ， 只 允许 该 网 段 能 够 访 
问 Internet。 

基于 以 上 原因 ， 我 们 可 以 使 用 交换 机 按 部 门 灵活 地 划分 网 段 ， 而 不 用 考虑 物理 位 置 ， 这 
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就 是 下 面 要 讲解 的 VLAN 技术 。 
7.5.1 什么 是 VLAN 


VLAN (Virtual Local Area Network， 虚 拟 局 域 网 ) 技术 的 出 现 ， 主 要 是 为 了 解决 交换 机 
在 进行 局 域 网 互 连 时 无 法 限制 广播 的 问题 。 这 种 技术 可 以 把 一 个 LAN 划分 成 多 个 逻辑 的 
LAN 一 一 VLAN， 每 个 VLAN 是 一 个 广播 域 ，VLAN 内 的 主机 间 通 信 就 和 在 一 个 LAN 内 一 
样 ， 而 VLAN 间 则 不 能 直接 互通 ， 因 此 ， 广 播报 文 被 限制 在 一 个 VLAN 内 。VLAN 是 一 种 
将 局 域 网 设备 从 逻辑 上 划分 成 一 个 个 网 段 而 不 用 考虑 同一 个 LAN 是 否 在 同一 个 交换 机 上 。 

如 图 7-14 所 示 ， 公 司 的 办 公 大 楼 在 第 一 层 、 第 二 层 和 第 三 层 放置 了 交换 机 ， 这 三 个 交 
换 机 为 接 入 层 交换 机 ， 通 过 汇聚 层 交 换 机 连接 。 公 司 的 销售 部 、 研 发 部 和 财务 部 的 计算 机 在 
每 一 层 都 有 。 从 安全 和 控制 网 络 广播 方面 考虑 ， 可 以 为 每 一 个 部 门 创建 一 个 VLAN。 在 交换 
机 上 不 同 的 VLAN 使 用 数字 标识 ,你 可 以 将 销售 部 的 计算 机 指定 到 VLAN 1, 为 研发 部 创建 
VLAN 2， 为 财务 部 创建 VLAN 3。 

一 个 VLAN 就 是 一 个 广播 域 ， 同 一 个 VLAN 中 的 计算 机 IP 地 址 在 同一 个 网 段 。 


一 个 VLAN= 一 个 广播 域 = 一 个 网 段 〈 子 网 ) 


全 图 7-14 VLAN 示意 图 


1. VLAN 的 优点 


"广播 风暴 防范 

限制 网 络 上 的 广播 ， 将 网 络 划分 为 多 个 VLAN 可 减少 参与 广播 风暴 的 设备 数量 。LAN 
分 段 可 以 防止 广播 风暴 波及 整个 网 络 。VLAN 可 以 提供 建立 防火 墙 的 机 制 ， 防 止 交换 网 
络 的 过 量 广播 。 使 用 VLAN， 可 以 将 某 个 交换 端口 或 用 户 赋 于 某 一 个 特定 的 VLAN 组 ， 
该 VLAN 组 可 以 在 一 个 交换 网 中 或 跨 接 多 个 交换 机 ， 在 一 个 VLAN 中 的 广播 不 会 送 到 
VLAN 之 外 。 同 样 ， 相 邻 的 端口 不 会 收 到 其 他 VLAN 产生 的 广播 ， 这 样 可 以 减少 广播 
流量 ， 释 放 带 宽 给 用 户 应 用 ， 减 少 广播 的 产生 。 


六 的 [和 


ma 安全 
增强 局 域 网 的 安全 性 , 含有 敏感 数据 的 用 户 组 可 与 网 络 的 其 余部 分 隔离 ， 从 而 降低 泄露 
机 密 信息 的 可 能 性 。 不 同 VLAN 内 的 报 文 在 传输 时 是 相互 隔离 的 ， 即 一 个 VLAN 内 的 
户 不 能 和 其 他 VLAN 内 的 用 户 直接 通信 。 如 果 不 同 VLAN 间 要 进行 通信 ， 则 需要 通 
过 路 由 器 或 三 层 交 换 机 等 三 层 设 备 。 

2. 创建 VLAN 的 条 件 


VLAN 是 建立 在 物理 网 络 基础 上 的 一 种 逻辑 子 网 ， 因 此 建立 VLAN 需要 相应 的 支持 
VLAN 技术 的 网 络 设备 。 当 网 络 中 的 不 同 VLAN 间 进 行 相互 通信 时 ， 需 要 路 由 的 支持 ， 这 
时 就 需要 增加 路 由 设备 一 一 要 实现 路 由 功能 , 既 可 采用 路 由 器 , 也 可 采用 三 层 交 换 机 来 完成 。 
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7.5.2 ”创建 和 管理 VLAN 


打开 随 书 光盘 中 第 7 章 练习 “05 创建 和 管理 VLAN.pkt”， 网 络 拓扑 如 图 7-15 所 示 ， 网 
络 中 的 计算 机 已 经 配置 好 了 IP 地 址 ， 交 换 机 的 所 有 接口 默认 都 属于 VLAN 1。PC0 和 PC1 
分 别 连接 到 交换 机 的 Fa0/1 和 Fa0/2 接口 ,PC3 和 PC4 分 别 连 接 在 交换 机 的 Fa0/13 和 Fa0/14。 

本 实验 将 会 查看 交换 机 上 的 VLAN， 端 口 所 属 的 VLAN， 创 建 VLAN 2， 将 13-24 端口 
指定 到 VLAN 2， 然 后 测试 PC0 和 PC1 和 PC2 是 否 能 通信 。 删 除 VLAN2， 查 看 属于 VLAN 
2 的 端口 。 


0 


192. 168.0.0724 
图 7-15 创建 和 管理 VLAN 

操作 步骤 如 下 。 

(1) 查看 交换 机 的 VLAN， 如 图 7-16 所 示 。 
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Switch#show vlan 


VLAN Name Status Ports 

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/1ili, Fa0/12 
Fa0/13, Fa0/14, Fa0/1i5, Fa0/16 
Fa0/17, Fa0/18, Fa0/1i9, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 
Gig1i/1, Gig1i/2 


1002 fddi-default act/unsup 
1003 token-ring-default act/unsup 
1004 fddinet-default act/unsup 
1005 trnet-default act/unsup 


全 图 7-16 显示 VLAN 
在 交换 机 上 运行 show vlan, 可 以 看 到 所 有 的 接口 都 在 VLAN 1, VLAN 1 是 默认 VLAN， 
不 能 删除 ， 也 不 需要 创建 。 
(2) 使 用 PC0 ping PC1、PC2 和 PC3， 将 发 现 都 能 通 ， 在 同一 个 VLAN 的 计算 机 IP 地 
址 在 一 个 网 段 就 能 通信 。 

(3) 创建 YLAN 2， 将 Fa0/13 一 24 端口 指定 到 VLAN 2。 
Switch>en 
Switch#config t 
Switch (config) #vlan 2 -- 创 建 VLAN 2， 就 这 么 简单 ， 删 除 VLAN 2 只 需 no vlan 2 
Switch (config-vlan) #exit 
Switch (config) #interface range fastEthernet 0/13-24 
Switch (config-if-range) #switchport mode access 

--access 指定 这 些 接口 为 访问 接口 
Switch (config-if-range) #switchport access vlan 2 

-- 将 这 些 接口 指定 到 VLAN 2 
后 面 会 为 大 家 介绍 什么 是 访问 接口 和 干道 接口 。 
(4) 查看 VLAN， 如 图 7-17 所 示 。 


Switch#show vlan 


VLAN Name Status Ports 

1 default active Fa0/1i, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/1i0, Fa0/ii, Fa0/12 
Gig1/1i, Gigi/2 

2 VLAN0002 active Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 


1002 fddi-default act/unsup 
1003 token-ring-default act/unsup 
1004 fddinet-default act/unsup 
1005 trnet-default act/unsup 


全 图 7-17 查看 VLAN 
可 以 看 到 创建 的 VLAN 2， 以 及 VLAN 2 的 接口 。 


〈5) 现 在 使 


六 的 IE 


PC0 ping PC1、PC2 和 PC3 , 发 现 只 能 ping 通 PC1。 PC2 能 够 ping 通 PC3。 


即 在 同一 个 VLAN 的 计算 机 才能 通 。VLAN 实现 的 是 数据 链 路 层 安 全 。 


如 图 7-18 所 示 ， 将 一 个 交换 机 划分 了 两 个 VLAN， 你 可 以 想象 成 将 交换 机 逻辑 
上 分 成 了 两 个 交换 机 。 这 两 个 不 同 的 VLAN 之 间 通 信 必 须 通过 路 由 器 转发 ， 同 
时 这 两 个 VLAN 的 IP 地 址 必须 在 不 同 的 网 段 。 


划分 VLAN 后 的 等 价 图 
VLAN 间 通信 必须 过 路 由 


Router 


N A 
192.168.1.0/24 一 ~ 192.168. 2.0/24 


全 图 7-18 需要 路 由 器 实现 VLAN 间 路 由 


(6) 删除 VLAN 2。 

Switch (config) #no vlan 2 =- 删除 VLAN 2 

(7) 查看 VLAN。 

Switch#show vlan 

可 以 看 到 ， 删 除 VLAN 2 后 ， VLAN 2 的 端口 不 属于 任何 VLAN， 这 些 端口 被 禁用 ， 
你 需要 明确 指定 这 些 端 口 所 属 的 VLAN， 这 些 端口 才 会 被 启用 。 


7.5.3” 跨 交换 机 的 VLAN 


以 上 讲 的 是 将 一 个 交换 机 划分 为 两 个 VLAN。 如 图 7-19 所 示 ， 某 公司 有 两 个 部 门 ， 财 


务 部 和 销售 部 ， 


分 别 接 在 两 个 交换 机 SwitchA 和 SwitchB 上 。 如 果 将 财务 部 的 计算 机 规划 到 


VLAN 1， 将 销售 部 的 计算 机 规划 到 VLAN2， 如 何 实现 呢 ? 

在 两 个 交换 机 上 分 别 创建 VLAN2, 将 连接 销售 部 计算 机 的 端口 指定 到 VLAN2。 将 连接 
财务 部 计算 机 的 端口 指定 到 VLAN1。 为 了 确保 两 个 交换 机 上 的 VLAN1 能 够 直接 通信 ， 可 
以 使 用 一 根 网 线 将 两 个 交换 机 属于 VLAN1 的 端口 连接 ,使 用 另 一 根 网 线 将 两 个 交换 机 属于 
VLAN2 的 端口 连接 。 这 样 ，VLANI1 的 计算 机 A、B、C、D 就 属于 同一 个 逻辑 网 段 了 ， 销 


售 部 的 计算 机 E、 


F、G、H 就 属于 另 一 个 逻辑 网 段 了 。 
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按照 上 面 的 方法 , 如 果 i 3 
有 10 个 VLAN 跨 这 两 个 交 财务 部 销售 部 
换 机 ， 每 一 个 VLAN 使 用 
一 根 网 线 连接 两 个 交换 机 ， 
就 太 浪费 交换 机 端口 和 网 


线 了 。 有 没有 更 好 的 方法 
呢 ? 有 :! 那 就 是 使 用 干道 链 
路 。 下面 将 介绍 什么 是 干道 
链 路 。 
交换 机 的 端口 有 以 下 
两 种 类 型 。 
”访问 端口 : 访问 端 
口 只 能 属于 某 一 A 图 7-19 跨 交换 机 的 VLAN 
个 VLAN, 它 只 能 承载 某 一 个 VLAN 的 流量 。 连 接 访问 端口 的 链 路 称 为 访问 链 路 。 
”中 继 端 口 ， 中 继 端 口 能 够 同时 承载 多 个 VLAN 的 流量 ， 连 接 中 继 端 口 的 链 路 称 为 
干道 链 路 。 数 据 帧 进入 干道 链 路 时 需要 添加 帧 标记 (或 称 VLAN ID) ， 离 开 干道 
链 路 时 去 掉 帧 标记 ， 这 个 过 程 对 计算 机 来 说 是 透明 的 。 
现在 介绍 数据 帧 通过 干道 链 路 添加 帧 标记 的 意义 : 通过 干道 的 数据 帧 用 来 标明 该 帧 来 自 
哪个 VLAN。 
如 图 7-20 所 示 ，, 计算 机 A 发 送 一 个 广播 帧 ，SwitchA 知道 计算 机 A 属于 VLAN1, 就 将 
该 广播 发 送 到 VLAN1 的 所 有 端口 。 这 个 广播 帧 还 会 通过 干道 链 路 发 送 到 SwitchB，SwitchB 
需要 将 该 广播 帧 发 送 到 SwitchB 的 VLANI1 的 所 有 端口 。 问 题 是 SwitchB 如 何 知 道 该 广播 帧 
来 自 哪个 VLAN? 这 就 需要 SwitchA 将 来 自 VLANI1 的 数据 帧 添加 一 个 帧 标记 标明 其 所 属 的 
VLAN， 当 SwitchB 接收 后 就 知道 应 该 将 该 帧 广播 到 哪个 VLAN。 这 个 数据 帧 只 要 离开 干道 
链 路 就 去 掉 帧 标记 。 在 访问 链 路 上 是 没有 帧 标记 的 。 
VLAN 1 [ VIAN 2 
财务 部 销售 部 


全 图 7-20 通过 干道 链 路 连接 多 个 VLAN 
为 了 说 明 方便 给 大 家 举例 广播 帧 通过 干道 链 路 添加 帧 标记 , 其 实 非 广播 帧 通过 干道 链 路 


同样 可 以 添加 帧 标记 。 

这 样 不 管 有 多 少 个 VLAN 跨 这 两 个 交换 机 ， 只 需 一 条 干道 链 路 即 可 。 

如 图 7-21 所 示 ， 接 入 层 交 换 机 SwitchA、SwitchB、SwitchC、SwitchD 于 汇聚 层 交 换 机 
SwitchE 处 连接 。 市 场 部 计算 机 都 连接 到 SwitchA， 属 于 VLAN 4。 销 售 部 和 研发 部 以 及 财务 
部 的 计算 机 分 别 属于 VLAN1、VLAN2 和 VLAN3， 这 三 个 VLAN 跨 SwitchB、SwitchC 和 
SwitchD 三 个 交换 机 ， 需 要 将 哪些 链 路 配置 成 为 干道 链 路 呢 ? 


黑 亏 吾 了 于 


A 图 7-21 需要 配置 为 干道 的 链 路 
传递 多 个 VLAN 数据 的 链 路 需要 配置 成 干道 链 路 ， 因 此 SwitchB、SwitchC、SwitchD 
与 SwitchE 连接 的 链 路 需要 配置 为 干道 , 而 SwitchA 上 连接 的 是 同一 个 VLAN 的 计算 机 , 因 
此 SwitchA 与 SwitchE 之 间 的 连接 可 以 使 用 访问 链 路 连接 。 


7.5.4 配置 干道 链 路 


打开 随 书 光盘 中 第 7 章 练习 “06 配置 干道 链 路 .pkt”， 如 图 7-22 所 示 ， 网 络 中 的 交换 机 
Switch1、Switch2 是 接 入 层 交 换 机 ，Switch0 是 汇聚 层 交 换 机 。VLAN1 和 VLAN2 跨 三 个 交 
换 机 。 

现在 你 需要 在 Switch1、Switch2、Switch0 上 创建 VLAN2， 前 两 个 交换 机 将 Fa0/13 一 24 
端口 指定 到 VLAN2。 将 连接 汇聚 层 交 换 机 的 端口 指定 为 干道 链 路 。 验 证 VLAN1 的 两 个 计 
算 机 PC0 和 PC2 能 够 通信 ，VLAN2 的 两 个 计算 机 PC1 和 PC3 能 够 相互 通信 。 
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全 图 7-22 网 络 拓扑 
操作 步骤 如 下 。 
(1) 在 Switchl 和 Switch2 上 ， 创 建 VLAN 2， 配 置 干道 端口 。 
Switch>en 


Switch#config 七 
Switch (config) #vlan 2 -- 创 建 VLAN2 
Switch (config-vlan) #ex 
Switch (config) #interface range fastEthernet 0/13 - 24 -- 进 入 接口 配置 模式 
Switch (config-if-range) #switchport mode access =-- 将 接口 设置 为 访问 接口 
Switch (config-if-range) #switchport access vlan 2 -- 将 接口 指定 到 VLAN2 
Switch (config-if-range) #ex 
Switch (config) #interface gigabitEthernet 1/1 
Switch (config-if) #switchport mode ? 
access Set trunking mode to ACCESS unconditionally 
dynamic Set trunking mode to dynamically negotiate access or trunk mode 
trunk Set trunking mode to TRUNK unconditionally 
Switch (config-if) #switchport mode trunk -- 将 接口 指定 为 干道 接口 
(2) 在 Switch0 上 ， 创 建 VLAN 2， 配 置 干道 链 路 。 
Switch>en 
Switch#config 七 
Switch (config) #vlan 2 -- 创 建 VLAN2 
Switch (config-vlan) #ex 
Switch (config) #interface range gigabitEthernet 0/1 - 2 -- 进 入 接口 配置 模式 


Switch (config-if-range) #switchport trunk encapsulation dotlq 


六 的 [和 


一 -指定 干道 链 路 VLAN 标识 方法 
Switch (config-if-range) #switchport mode trunk -- 将 接口 指定 为 干道 接口 
(3) 在 PC0 上 pingPC2。 
PC>ping 192.168.0.3 
(4) 在 PC1 上 Ping PC3 。 
PC>ping 192.168.1.3 


只有 FastEthemet 和 gigabitEthernet 接口 支持 干道 。 
中 于 必须 在 Switch0 上 创建 VLAN2, 虽然 没有 VLAN2 的 计算 机 直接 连接 到 该 交换 机 。 


在 Switch0 上 将 接口 配置 为 干道 前 ， 必 须 指定 干道 链 路 VLAN 的 标识 方法 。 


7.5.5 ” 帧 标记 


关于 中 继 端 口 的 另 一 件 事情 是 , 它们 将 同时 支持 标记 的 和 非 标 记 的 流量 (我们 将 在 下 面 
讨论 采用 802.1Q 的 中 继 )。 对 于 所 有 非 标记 的 流量 将 要 穿越 的 VLAN 中 继 端 口 将 被 分 配 一 
个 默认 的 端口 VLAN ID (PVID)。 这 种 VLAN 也 称 为 本 机 (native) VLAN， 默 认 时 ， 它 始 
终 是 VLAN 1 (但 可 以 改 为 任何 VLAN 号 )。 

类 似 地 ， 任 何 带 NULL (没有 分 配 的 ) VLAN ID 的 标记 或 非 标 记 流量 ， 都 假定 属于 有 
端口 默认 PVID 的 VLAN (同样 ， 默认 时 为 VLAN1)。 其 VLAN ID 等 于 外 出 端口 默认 PVID 
的 数据 包 将 作为 非 标 记 流 量 发 送 ， 且 只 能 与 VLAN1 中 的 主机 或 设备 进行 通信 。 其 他 所 有 的 
VLAN 流量 必须 用 VLAN 标记 发 送 ， 以 便 在 与 此 标记 相对 应 的 特定 VLAN 中 通信 。 

VLAN 的 识别 方法 


VLAN 的 识别 是 指 当 帧 通过 干道 链 路 时 ， 交 换 机 跟踪 帧 所 属 VLAN 的 方式 。 它 指 的 是 
交换 机 怎样 识别 哪 一 个 帧 属于 哪 一 个 VLAN， 下 面 是 一 些 实现 中 继 的 方法 。 

， ”交换 机 间 链 路 

交换 机 间 链 路 (Inter-Switch Link，ISL) 是 一 种 在 以 太 网 帧 上 显 式 地 标记 VLAN 信息 的 

方法 。 通 过 一 种 外 部 封装 方法 (ISL)， 这 种 标记 信息 允许 VLAN 在 干道 链 路 上 实现 多 

路 复 用 ， 从 而 允许 交换 机 在 中 继 链 路 上 识别 出 帧 的 VLAN 成 员 关 系 。 

通过 运行 ISL, 可 以 将 多 台 交 换 机 互联 起 来 , 当 流量 在 交换 机 之 间 的 中 继 链 路 上 传送 时 ， 

仍然 维持 VLAN 信息 。ISL 在 第 2 层 起 作用 ， 并 用 新 的 报头 和 循环 元 余 校 验 (CRC) 对 

数据 帧 进行 封装 。 

要 注意 的 是 , 这 是 Cisco 交换 机 专用 的 方法 , 它 只 用 于 快速 以 太 网 和 吉 比 特 以 太 网 链 路 。 

ISL 路 由 的 用 途 相当 广泛 ， 可 以 用 在 交换 机 端口 、 路 由 器 接口 和 服务 器 接口 卡 上 。 

"IEEE 802.1Q 

IEEE 802.1Q 是 由 IEEE 创建 的 ， 作 为 帧 标记 的 标准 方法 ， 它 实际 上 是 在 帧 中 插入 一 个 

字段 ， 以 标识 VLAN。 如 果 你 正在 Cisco 的 交换 式 链 路 和 不 同 品牌 的 交换 机 之 间 设 置 中 

继 链 路 ， 就 不 得 不 使 用 802.1Q， 以 便 让 中 继 链 路 起 作用 。 
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它 的 原理 是 这 样 的 : 首先 指定 准备 采用 802.1Q 封装 来 实现 中 继 的 每 个 端口 ， 必 须 为 端 
口 分 配 特 定 的 VLAN ID， 使 它们 成 为 本 机 VLAN， 以 便 让 它们 通信 。 属 于 同一 个 中 继 
链 路 的 端口 所 创建 的 工作 组 就 成 为 本 机 VLAN， 每 个 端口 用 反映 其 本 机 VLAN 的 标识 
号 作为 标记 ， 默 认 时 为 VLAN1。 本 机 VLAN 人 允许 中 继 链 路 传送 所 接收 到 的 没有 任何 


VLAN 标识 或 帧 标记 的 信息 。 
2960 系列 只 支持 IEEE 802.1Q 中 继 协议 ， 但 3560 系列 能 支持 ISL 和 IEEE 两 种 方法 。 


7.5.6 VLAN 干道 协议 ( VTP ) 


如 图 7-23 所 示 ，Switch1、Switch2 通过 干道 和 Switch0 连接 。 如 果 网 络 中 需要 新 增加 一 
个 VLAN3， 你 需要 在 Switch1、Switch2 以 及 Switch0 上 创建 VLAN3; 如 果 网 络 中 需要 将 
VLAN 2 删除 ， 你 需要 在 Switch1、Switch2 以 及 Switch0 上 删除 VLAN 2。 有 没有 简单 的 方 
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全 图 7-23 VTP 协议 的 作用 示意 图 
有 ! 那 就 是 配置 VLAN 干道 协议 (VLAN Trunk Protocol，VTP)， 使 用 VTP 能 够 在 干道 
链 路 上 通告 VLAN 添加 或 删除 的 消息 。 需 要 配置 以 下 参数 ， 才 能 实现 交换 机 间 VLAN 信息 
共享 。 
Switch (config) #vtp domain todd ” -- 必 须 有 相同 的 VTP 域名 
Switch (config) #vtp password aaa  ”-- 必 须 有 相同 的 密码 ， 为 了 安全 考虑 最 好 设置 密码 
-- 可 以 看 到 VTP 模式 有 Client、Server 和 Transparent 


SwitchCconfig)#vtp mode ? 

client Set the device to client mode. 
server Set the device to server mode . 
transparent Set the device to transparent mode. 
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如 果 将 交换 机 的 VTP 模式 设置 为 Server， 你 能 够 在 该 交换 机 上 添加 、 删 除 VLAN， 这 
些 更 改 将 会 通过 VTP 协议 通告 给 同一 个 VTP 中 的 其 他 交换 机 。 一 个 VTP 域 中 最 少 应 该 有 1 
个 交换 机 作为 Server。 在 VTP 服务 器 模式 下 ，VLAN 的 配置 保存 在 NVRAM 中 。 

如 果 将 交换 机 的 VTP 模式 设置 为 Client， 该 交换 机 从 VTP 服务 器 接收 VLAN 信息 ， 同 
时 也 发 送 和 接收 更 新 。 你 不 能 在 这 些 交换 机 上 添加 或 删除 VLAN。VLAN 信息 不 存储 在 
NVRAM 中 ， 一 旦 重启 交换 机 ， 就 需要 重新 从 VTP 的 服务 器 上 学 习 VLAN 信息 。 

如 果 将 交换 机 的 VTP 模式 设置 为 Transparent， 能 够 通过 干道 链 路 通告 VTP 信息 ， 但 不 
会 修改 自己 的 VLAN 信息 。 


7.5.7 配置 VTP 域 


打开 随 书 光盘 中 第 7 章 练 习 “07 配置 VTP 域 .pkt”, 交换 机 间 连 接 已 经 配置 为 干道 链 路 ， 
网 络 拓扑 如 图 7-24 所 示 。 

你 需要 配置 这 三 个 交换 机 在 同一 个 VTP 域 “todd” VTP 密码 为 “Cisco”。 

Switch0 作为 VTP 的 Server，Switchl 和 Switch2 作为 VTP 的 Client。 

配置 完成 后 验证 VTP 功能 。 


Switchl 
Client ~~~ion 


Gig/2p 
7 3560-24PS 
J Switch0 


2 server 
一 ”干道 链 路 


Switch2 
Client 


VTP Domain todd 
VTP password Cisco 


全 图 7-24 配置 VTP 域 
操作 步骤 如 下 。 
(1) 在 Switchl 和 Switch2 上 ， 配 置 VTP 域名 、 密 码 和 模式 。 
Switch (config) #vt 
Switch (config) #vtp domain todd 
Switch (config) #vtp password Cisco 
Switch (config) #vtp mode client 
(2) 在 Switch0 上 ， 配 置 VTP 域名 、 密 码 和 模式 。 
Switch>en 
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Switch#config 七 

Switch (config) #vtp domain todd 

Setting device VLAN database password to Cisco 
Switch (config) #vtp mode server 

(3) 在 Switch0 上 创建 VLAN 40。 

Switch (config) #vlan 40 

(4) 在 Switchl 和 Switch2 上 查看 VLAN。 
Switch#show vlan 


VLAN Name Status Ports 


default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11, Fa0/12 
Gig1/2 

2 VLAN0002 active Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 

40 VLAN0040 active 

可 以 看 到 ， 在 Switch0 上 创建 的 VLAN， 在 Switchl 和 Switch2 上 都 能 看 到 。 

(5) 在 Switchl 上 删除 VLAN 40， 创 建 VLAN 30。 

Switch (config) #no vlan 40 

VTP VLAN configuration not allowed when device is in CLIENT mode . 

Switch (config) #vlan 30 


VTP VLAN configuration not allowed when device is in CLIENT mode . 


在 Client 模式 设备 上 不 能 删除 VLAN， 也 不 能 创建 VLAN。 


(6) 你 可 以 更 改 Switchl 的 VTP 模式 为 Server， 即 可 在 该 设备 上 创建 和 删除 VLAN。 
Switch (config) #vtp mode server 

(7) 在 Switch0 上 查看 VTP 配置 

Switch#show vtp status 

VTP Version bert 

Configuration Revision -0 

Maximum VLANs supported locally --1005 

Number of existing VLANs = 


VTP Operating Mode --Server 


VTP Domain Name todd 

VTP Pruning Mode --Disabled 

VTP V2 Mode --Disabled 

VTP Traps Generation --Disabled 

MD5 digest --0xE2 0xB1 0xRA5 0x30 0xE5 0x68 0xD5 OxA4 


Configuration last modified by 0.0.0.0 at 3-1-93 00:00:00 
Local updater ID is 0.0.0.0 (no valid interface found) 


Switch# 


将 交换 机 设置 为 同一 个 VTP 域 ， 一 个 VTP 域 最 少 有 一 个 VTP Server， 在 Server 
上 可 以 方便 地 管理 交换 机 中 VLAN 的 添加 或 删除 。 你 需要 在 每 一 个 交换 机 上 将 
交换 机 的 端口 指定 到 特定 VLAN， 这 一 点 没有 办 法 统一 管理 。 


VLAN 是 建立 在 物理 网 络 基础 上 的 一 种 逻辑 子 网 ， 因 此 建立 VLAN 需要 相应 的 支持 
VLAN 技术 的 网 络 设备 。 当 网 络 中 的 不 同 VLAN 间 进 行 相互 通信 时 ， 需 要 路 由 的 支持 ， 这 
时 就 需要 增加 路 由 设备 一 一 要 实现 路 由 功能 , 既 可 采用 路 由 器 , 也 可 采用 三 层 交 换 机 来 完成 。 


7.6.1 单 臂 路 由 器 实现 VLAN 间 路 由 


如 图 7-25 (a) 所 示 ， Switchl 上 有 VLAN1 和 VLAN2, 要 想 实 现 这 两 个 VLAN 的 路 由 ， 
可 以 使 用 路 由 器 的 两 个 以 太 网 接口 分 别 接 入 到 交换 机 的 VLAN1 接口 和 VLAN2 接口 ， 作 为 
VLAN1 和 VLAN2 的 网 关 。 


Gi 0/0.1 FS Gi 0/0.2 
封装 dotla 1 、 封装 
封装 dotla 2 
IP 192.168.1.1/24 RoutEr-PT 
Ro 量 ero I 192.168.2.1/24 


igo| 干 


PC0 pco 


2 2 
2 2 
192. 168. 1.0/24 192. 168.2.0/24 192. 168. 1.0/24 192. 168. 2. 0/24 


人 图 7-25 单 辟 路 由 等 价 图 


如 果 路 由 器 的 以 太 网 接口 支持 802.1 Q 或 I SL， 皆 可 以 将 路 由 器 的 以 太 网 接口 和 交换 机 
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的 干道 接口 相连 接 ， 通 过 将 路 由 器 的 物理 接口 分 为 逻辑 上 的 接口 ， 分 别 作 为 VLAN1 和 
VLAN2 的 网 关 。 使 用 这 种 方式 实现 VLAN 间 路 由 就 是 单 辟 路 由 。 


路 由 器 接口 FastEthernet 或 GigabitEthernet 支持 单 辟 路 由 。 
打开 随 书 光盘 中 第 7 章 练 习 “08 单 辟 路 由 .pkt”， 计 算 机 的 IP 地 址 已 经 按照 图 7-25 所 


示 配 置 完成 ， 你 需要 在 交换 机 上 创建 VLAN 2， 将 Fa0/13 一 24 接口 指定 到 VLAN 2， 将 交换 
机 的 Gig1/1 配置 为 干道 接口 ， 配 置 路 由 器 的 Gig0/0 子 接口 支持 VLAN1 和 VLAN2。 


(1) 在 Switchl 上 ， 创 建 VLAN 2， 将 端口 指定 到 VLAN 2。 

Switch#config t 

Switch (config) #vlan 2 -创建 VLAN 2 
Switch (config-vlan) #ex 

Switch (config) #interface range fastEthernet 0/13 -24 

Switch (config-if-range) #switchport mode access =-- 指 定 为 访问 接口 
Switch (config-if-range) #switchport access vlan 2 -- 指 定 到 VLAN 2 
Switch (config-if-range) #exi 


Switch (config) #interface gigabitEthernet 1/1 


Switch (config-if) #switchport mode trunk =-- 将 连接 路 由 器 的 接口 配置 为 干道 
(2) 在 Router0 上 ， 配 置 子 接口 支持 VLAN。 
Router>en 


Router#config t 
Router (config) #interface gigabitEthernet 0/0 -- 进 入 接口 配置 模式 
Router (config-if) #no sh -- 物 理 接口 需要 启用 ， 不 需 配 置 IP 地 址 
Router (config-if) #ex 
Router (config) #interface gigabitEthernet 0/0.1 

-- 0.1 子 接口 ， 使 之 作为 VLAN1 的 网 关 
Router (config-subif) #encapsulation dot1lQ 1 

一 -配置 封装 干道 封装 ，1 代表 VLAN1 的 帧 标记 
Router (config-subif) #ip address 192.168.1.1 255.255.255.0 

一 -为 子 接口 添加 IP 地 址 
Router (config-subif) #no sh -- 启 用 子 接口 
Router (config-subif) #ex 
Router (config) #interface gigabitEthernet 0/0.2 

--0.2 子 接口 ， 使 之 作为 VLAN2 的 网 关 
Router (config-subif) #encapsulation dot1Q 2 

-配置 封装 干道 封装 ，2 代表 VLAN2 的 帧 标记 
Router (config-subif) #ip address 192.168.2.1 255.255.255.0 

一 -为 子 接口 添加 IP 地 址 
Router (config-subif) #no shutdown 一 -启用 子 接口 


子 接口 的 编号 最 好 和 VLAN 的 编号 相同 ， 这 样 好 记 。 
(3) PC0 ping PC1， 测 试 VLAN 间 路 由 。 
PC>ping 192.168.2.2 
Pinging 192.168.2.2 with 32 bytes of data: 
Request timed out. 
Reply from 192.168.2.2: bytes=32 time=40ms TTL=127 
Reply from 192.168.2.2: bytes=32 time=30ms TTL=127 
Reply from 192.168.2.2: bytes=32 time=24ms TTL=127 
Ping Statistics for 192.168.22: 

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss) 
Approximate round trip times in milli-seconds: 


Minimum = 24ms, Maximum = 40ms, Average = 31ms 


7.6.2 多 层 交 换 机 实现 VLAN 间 路 由 


使 用 多 层 交 换 机 实现 VLAN 间 路 由 , 多 层 交 换 机 虚拟 接口 (Switch Virtual Interface, SVI) 
代表 一 个 由 交换 端口 构成 的 VLAN 〈 其 实 就 是 通常 所 说 的 VLAN 接口 )， 以 便于 实现 系统 中 
路 由 和 桥接 的 功能 。 一 个 交换 机 虚拟 接口 对 应 一 个 VLAN， 当 需要 路 由 虚拟 局 域 网 之 间 的 流 
量 或 桥接 VLAN 之 间 不 可 路 由 的 协议 ， 以 及 提供 IP 主机 到 交换 机 连接 的 时 候 ， 就 需要 为 相 
应 的 虚拟 局 域 网 配置 交换 机 虚拟 接口 。 其 实 SVI 就 是 通常 所 说 的 VLAN 接口 ， 只 不 过 它 是 
虚拟 的 ， 用 于 连接 整个 VLAN， 所 以 将 这 种 接口 称 为 逻辑 三 层 接口 ， 也 是 三 层 接口 。SVI 接 
口 是 当 在 Interface VLAN 全 局 配置 命令 后 面 键 入 具体 的 VLAN ID 时 创建 的 。 

打开 随 书 光盘 中 第 7 章 练 驻 08 多 层 交换 机 实现 VLAN 间 路 由 .pkt”, 网络 拓扑 如 图 7-26 
所 示 ， 网 络 中 VLAN1 和 VLAN2 中 计算 机 的 IP 地址 已 经 配置 完成 ， 网 关 是 本 网 段 的 第 一 个 
地 址 。 交 换 机 之 间 的 连接 已 经 配置 为 干道 链 路 。 


Gig/2p 
3560-24Ps 
SwitchO 


A 
多 层 交 换 机 


全 图 7-26 多 层 交 换 机 实现 VLAN 间 路 由 
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你 需要 配置 多 层 交换 机 Switch0 的 SVI 接口 ， 使 之 支持 VLAN1 和 VLAN2 的 路 由 ， 并 
验证 VLAN 间 路 由 。 

操作 步骤 如 下 。 

(1) 在 Switch0 上 ， 配 置 VLAN 接口 。 

Switch (config) #interface vlan 1 -- 进 入 VLAN 1 的 虚拟 接口 

Switch (config-if) #ip address 192.168.0.1 255.255.255.0 


Switch (config-if) #no sh 
Switch (config-if) #exi 
Switch (config) #interface vlan 2 
-进入 VLAN 2 的 虚拟 接口 ， 该 命令 也 用 于 创建 虚拟 接口 
Switch (config-if) #ip address 192.168.1.1 255.255.255.0 
Switch (config-if) #no sh =-- 启 用 接口 ， 这 个 命令 很 必要 
(2) 查看 VLAN 接口 。 
Switch#show interfaces vlan 1 
Vlanl is up, line protocol is up 
Hardware is CPU Interface, address is 0010.1103.0209 (bia 0010.1103.0209) 
Internet address is 192.168.0.1/24 
(3) 在 PCO 上 pingPC3。 
PC>ping 192.168.1.3 
Pinging 192.168.1.3 with 32 bytes of data: 
Request timed out . 
Reply from 192.168.1.3: bytes=32 time=33ms TTL=127 
Reply from 192.168.1.3: bytes=32 time=30ms TTL=127 
Reply from 192.168.1.3: bytes=32 time=12ms TTL=127 
Ping statistics for 192,.168.1.3: 
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss) 
Approximate round trip times in milli-seconds: 


Minimum = 1l2ms, Maximum = 33ms, Average = 25ms 


7 和 2 交换 机 EtherChannel 


EtherChannel 特性 在 Switch 到 Switch、Switch 到 Router 之 间 提 供 宛 余 的 、 高 速 的 连接 
方式 , 简单 说 就 是 将 两 个 设备 间 多 条 FE 或 GE 物理 链 路 捆 在 一 起 组 成 一 条 设备 间 逻 辑 链 路 ， 
从 而 达到 增加 带宽 ， 提 供 元 余 的 目的 。 下 面具 体 结合 配置 了 解 它 的 特点 。 

构成 EtherChannel 的 端口 必须 配置 成 相同 的 特性 ， 如 双 工 模式 、 速 度 、 同 为 FE 或 GE 
端口 、 干 道 状态 和 类 型 。 


六 的 [和 


当 EtherChannel 中 某 一 条 Link 失败 时 ，EtherChannel 中 其 他 链 路 正常 工作 。 

当 配 置 第 二 层 端口 作 EtherChannel 时 只 要 在 访问 端口 配置 模式 下 用 channel-group n 命令 
指定 该 端口 要 加 入 的 channel-group 组 , 这 时 Switch 会 自动 创建 port-channel 接口 ， 而 当 配置 
Layer 3 端口 作 EtherChannel 时 ， 还 需要 先 在 全 局 配置 模式 下 用 interface port-channeln 命令 
手工 创建 port-channel 接口 。 

Packet Tracer 不 支持 该 实验 。 只 能 在 物理 交换 机 上 进行 以 下 实验 。 
1. 实验 环境 和 目标 


实验 环 境 如 图 7-27 所 示 ，SW7 和 SW8 两 个 交换 机 使 用 Fa0/15 和 Fa0/16 连接 ， 你 需要 
将 这 两 个 链 路 绑 定 为 一 个 EtherChannel。 


Fas0/1s 
Fas0/16 


人 图 7-27 EtherChannel 示意 图 


2. 操作 步骤 
(1) 在 SW7 上 的 配置 ， 将 两 个 端口 还 原 为 默认 配置 。 


SW7 (config) #default interface fastEthernet 0/15 

SW7 (config) #default interface fastEthernet 0/16 

(2) 将 两 个 口 配置 为 干道 。 

SW7 (config) #interface range fastEthernet 0/15 - 16 

SW7 (config-if-range) #switchport mode dynamic desirable 

(3) 查看 接口 状态 ，Mode 为 desirable， 意 味 着 该 接口 期 望 成 为 干道 ， 如 图 7-28 所 示 。 
SW7#show interfaces fastEthernet 0/15 trunk 


Native vlan 
trunking 1 


Ulans allowed and active in management domain 
1 


Ulans in spanning tr ding state and not 了 


全 图 7-28 显示 接口 状态 
(4) 在 SW7 上 ， 将 两 个 接口 配置 成 为 EtherChannel， 如 图 7-29 所 示 。 
SW7 (config) #interface range fastEthernet 0/15 - 16 


SW7 (config-if-range) #channel-group 1 mode desirable 
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if-range)Hchannel-group 1 node desirable 


if-range) 
LINEPROTO-5-UP col on Interface PastEthernetB 


to dovn 
LINEPROTO-5-UPDOVN: Line pr on Interface FastEthernet®, 


to dovn 
<LINEPROTO-S -UPDOWN: Line pr on Interface 


e to up 
LINEPROTO-5-UP 


to up 
LINK-3-UPDOWN: Interface Port-channeli, changed state to up 
LINEPROTO-S-UPDOUN: Line protocol on Interface Port-channell。 


up 
[Connection to SW?7 closed by foreign host] 


全 图 7-29 将 两 个 接口 配置 为 EtherChannel 
(5) 以 下 命令 查看 port-channel 1 生成 树 状态 ， 可 以 看 到 是 转发 状态 ， 如 图 7-30 所 示 。 


SW7#show spanning-tree interface port-channel 1 


SW7Hshow spanning-tree interface port-channel 1 


Role Sts Prio .Nbr Type 


Root FWD 12 128.65 P2p PeerCSTP> 
人 A 图 7-30 查看 配置 的 channel 
(6) SW7#show spanning-tree 查看 生成 树 ，Pol 接口 是 转发 状态 ， 该 接口 是 Fa0/15 和 
Fa0/16 绑 在 一 起 创建 的 port-channel 1 逻辑 链 路 ， 如 图 7-31 所 示 。 


#show spanning-t 


LANGGG1 
panning tree enabled protocol rstp 
Root ID Priority 69 

Address Baga .41d 

Cost 2 

Port 65 CPort-channel1> 

Hello Tine 2 sec Max hge 28 sec Forward Delay 15 s 
Bridge ID Priority 27 《priority 32 s-id-ext 1 
Addre 
Hello Tine 2 se hge 28 sec Forward Delay 15 


hging Tine 
Interfac: Role Prio .Nbr Type 
Fa@/11 Desg FWD 19 


Fa8/12 Desg FWD 19 
pol ot FWD 12 


全 图 7-31 在 SW7 上 查看 生成 树 端 品 
(7) 在 SW8 上 进行 相同 的 配置 ， 查 看 生成 树 ， 如 图 7-32 所 示 。 


LANGGO1 


Spanning tree enabled protocol ieee 
Root ID 


Max hge 28 sec 


Bridge ID Priorit 
Addr 
Hello Tine 2 
nging Tine 398 


Role Sts Prio -Nbr 


FWD 19 28.13 
FWD 12 -65 


全 图 7-32 在 SW8 上 查看 生成 树 
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(8) 把 端口 设置 为 默认 之 后 , 再 查看 VLAN 1 的 生成 树 端口 , 可 以 看 到 Fa0/15 和 Fa0/16 
作为 单独 的 链 路 参与 生成 树 ，Fa0/16 是 阻 断 状态 ， 如 图 7-33 所 示 。 


Da 


ng-tree vlan 1 


ruard Delay 15 sec 


1. 网 络 如 图 7-34 所 示 ， 在 汇聚 层 交 换 机 实现 VLAN 间 路 由 ,请 问 与 汇聚 层 交 换 机 连接 
的 哪些 链 路 需要 配置 为 干道 ? 


接 入 层 


兴 | VLAN 间 路 由 在 多 层 Smitch(config)#interface vlan 1 
Ec Switch(config)#interface vlan 2 
smitchE 有 交换 机 上 实现 Switch(config)#interface vlan 3 
汇聚 层 Switch(config)#interface vlan 4 


全 图 7-34 需要 配置 为 干道 的 链 路 
2. 以 太 网 交换 机 工作 在 OSI 的 (1) ， 并 按照 。” (2) ”来 进行 信息 转发 的 决策 。 
以 太 网 交换 机 上 的 每 个 端口 都 可 以 绑 定 一 个 或 多 个 (3) _。 


(1) A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 传输 层 
(2) A. 端口 的 IP 地址 B. 数据 包 中 的 MAC 地 址 
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C. 网 络 广播 D. 组 播 地址 
(3) A. 网 关 地 址 B. LLC 地 址 
C. MAC 地 址 D. IP 地 址 


3. 组 建 局 域 网 可 以 用 集线器 ,也 可 以 用 交换 机 。 用 集线器 连接 的 一 组 工作 站 __(1) 
用 交换 机 连接 的 一 组 工作 站 (2)》〉 _。 
(1) A. 同属 于 一 个 冲突 域 ， 但 不 属于 一 个 广播 域 
B. 同属 于 一 个 冲突 域 ， 也 同属 于 一 个 广播 域 
C. 不 属于 一 个 冲突 域 ， 但 同属 于 一 个 广播 域 
D. 不 属于 一 个 冲突 域 ， 也 不 属于 一 个 广播 域 
(2) A. 同属 于 一 个 冲突 域 ， 但 不 属于 一 个 广播 域 
B. 同属 于 一 个 冲突 域 ， 也 同属 于 一 个 广播 域 
C. 不 属于 一 个 冲突 域 ， 但 同属 于 一 个 广播 域 
D. 不 属于 一 个 冲突 域 ， 也 不 属于 一 个 广播 域 
4. 一 个 园区 网 内 某 VLAN 中 的 网 关 地 址 设置 为 195.26.16.1， 子 网 掩 码 设置 为 
255.255.240.0， 则 IP 地址 ”QU》 ”不 属于 该 VLAN。 该 VLAN 最 多 可 以 配置 _ (2) 


可 


人 台 IP 地址 主机 。 
(1) A.195.26.15.3 B. 195.26.18.128 
C. 195.26.24.254 D. 195.26.31.64 
(2) A. 1021 B. 1024 
C. 4093 D. 4096 


内 


VLAN 中 ， 每 个 虚拟 局 域 网 组 成 一 个 _ (1〉 “， 如 果 一 个 VLAN 跨越 多 个 交换 机 ， 
则 属于 同一 VLAN 的 工作 站 要 通过 _(2〉_ 互 相通 信 。 


(1) A. 区 域 B. 组 播 域 
C. 冲突 域 D. 广播 域 
(2) A. 应 用 服务 器 B. 主干 (Trunk) 线路 
C. 环 网 D. 本 地 交换 机 
6. 在 默认 配置 的 情况 下 ， 交 换 机 的 所 有 端口 _〈1) 。 连 接 在 不 同 交换 机 上 的 、 属 于 
同一 VLAN 的 数据 帧 必须 通过 __(2) ”传输 。 
(1) A. 处 于 直通 状态 B. 属于 同一 VLAN 
C. 属于 不 同 VLAN D. 地 址 都 相同 
(2) A. 服务 器 B. 路 由 器 
C. Backbone 链 路 D. Trunk 链 路 


一 


. 虚拟 局 域 网 中 继 协 议 (VTP) 有 三 种 工作 模式 ， 即 服务 嚣 模式、 客户 机 模式 和 透明 模 
式 ， 以 下 关于 这 三 种 工作 模式 的 叙述 中 ， 不 正确 的 是 。 
A. 在 服务 器 模式 下 可 以 设置 VLAN 信息 
B. 在 服务 器 模式 下 可 以 广播 VLAN 信息 
C. 在 客户 机 模式 下 不 可 以 设置 VLAN 信息 


my 


在 透明 模式 下 不 可 以 设置 VLAN 信息 


8. 在 下 面 关 于 VLAN 的 描述 中 ， 不 正确 的 是 
A. VLAN 把 交换 机 划分 成 多 个 逻辑 上 独立 的 交换 机 


B. 
Cs 
my 


主干 链 路 〈Trunk) 可 以 提供 多 个 VLAN 之 间 通 信 的 公共 通道 
由 于 包含 了 多 个 交换 机 ， 所 以 VLAN 扩大 了 冲突 域 
一 个 VLAN 可 以 跨越 交换 机 


9. 下 面 有 关 VLAN 的 语句 中 ， 正 确 的 是 。 


A. 


B. 
C. 


D. 


虚拟 局 域 网 中 继 协 议 VTP (VLAN Trunk Protocol ) 用 于 在 路 由 器 之 间 交 换 不 同 
VLAN 的 信息 

为 了 抑制 广播 风暴 ， 不 同 的 VLAN 之 间 必 须 用 网 桥 分 隔 

交换 机 工作 在 VTP 服务 器 模式 ， 这 样 可 以 把 VLAN 的 配置 信息 通告 给 其 他 交 
换 机 

一 台 计 算 机 可 以 属于 多 个 VLAN， 即 它 可 以 访问 多 个 VLAN， 也 可 以 被 多 个 
VLAN 访问 


10. 划分 VLAN 的 方法 有 多 种 ， 这 些 方法 中 不 包括 。 


A. 
C; 


根据 端口 划分 B. 根据 路 由 设备 划分 
根据 MAC 地 址 划分 D. 根据 IP 地 址 划分 
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习题 答案 
1. 配置 为 干道 链 路 的 有 B、C、D。 由 于 在 SwitchA 上 只 有 一 个 VLAN， 因 此 A 链 
路 可 以 配置 为 访问 链 路 ， 在 汇聚 层 交 换 机 上 需要 将 A 接口 配置 为 Access 接口 ， 
并 将 其 指定 到 VLAN4 即 可 。 


让 


IC VLAN 间 路 由 在 多 层 Switch(config)#interface vlan 1 
[人 有 交换 机 上 实现 Switch(config)#interface vlan 2 


Switch(config)#interface vlan 3 
汇聚 层 Switch(config)#interface vlan 4 


区 CYB 2 DB (39C 

3. (DB (2)C 

4. (1) A (2) C 因为 路 由 器 已 经 用 了 一 个 IP 地 址 ， 可 用 的 主机 地 址 还 剩 下 16 
X256 一 3=4093 

5 ID 2B 

6. (1) B (2) D 
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作为 一 个 系统 管理 员 ， 保 护 敏 感 重要 的 数据 和 网 络 资源 、 防 止 可 能 的 恶意 入 侵 ， 是 最 优 
先 考虑 的 事情 。 网 络 安全 的 范畴 很 广泛 ， 包 括 物 理 层 安全 、 数 据 链 路 层 安 全 、 网 络 层 安 全 、 
传输 层 安全 以 及 应 用 层 安 全 ， 但 是 本 章 的 重点 在 于 网 络 层 安全 。 

通过 在 路 由 器 上 配置 访问 控制 列表 ， 可 以 实现 数据 流量 过 滤 ， 从 而 实现 网 络 层 安全 。 比 
如 不 允许 财务 部 门 计算 机 所 在 的 网 段 访 问 Internet， 销 售 部 的 计算 机 所 在 的 网 段 能 够 访问 
Internet 上 网 站 但 不 允许 上 网 聊天 ， 禁 正 Internet 的 黑客 使 用 地 址 欺骗 攻击 内 网 。 

本 章 主 要 内 容 : 

" ”从 OSI 参考 模型 来 看 网 络 安全 

= ”典型 的 安全 网 络 架 构 

a ”安全 威胁 

= ”标准 访问 控制 列表 

= ”扩展 访问 控制 列表 

" ”使 用 访问 控制 列表 保护 路 由 安全 

， “基于 时 间 的 访问 控制 列表 

= ”使 用 ACL 降低 安全 威胁 


英 眉 
计算 机 网 络 


.1 ms 六 人 从 人 


在 讲解 路 由 器 上 实现 网 络 层 安全 之 前 ， 先 从 广义 上 为 大 家 介绍 一 下 网 络 安全 涉及 的 
范围 。 


8.1.1 从 OSI 参考 模型 来 看 网 络 安全 


在 工作 中 可 能 会 听 到 这 样 的 词 “ 物 理 层 安 全 ” “数据 链 路 层 安 全 ”、“ 网 络 层 安全 ” “应 
用 层 安 全 ” 这 些 都 是 根据 OSI 参考 模型 的 分 层 来 说 的 。 

OSI 参考 模型 将 数据 通信 分 为 7 层 : 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 、 网 络 层 、 数 据 
链 路 层 和 物理 层 。 网 络 安全 也 可 以 从 这 个 角度 来 分 类 。 

下 面 针 对 OSI 参考 模型 的 层 列举 一 些 安全 的 例子 。 


1. 物理 层 安 全 


通过 网 络 设备 进行 攻击 : Hub 和 无 线 AP 进行 攻击 。 攻 击 者 将 计算 机 连接 到 使 用 Hub 组 
建 的 网 络 中 就 可 以 捕获 其 他 用 户 通信 的 数据 包 。 无 线 AP 如 果 没 有 安全 措施 ， 攻 击 者 可 以 捕 
获 无 线 AP 通信 。 再 比如 ， 你 公司 的 办 公 大 楼 ， 其 中 一 层 租 给 保险 公司 ， 这 一 层 的 办 公 室 的 
网 线 还 在 你 公司 的 交换 机 上 连接 ,并 且 没有 禁用 这 些 端口 ， 保 险 公司 就 可 以 将 计算 机 轻易 接 
入 到 你 公司 的 网 络 ， 这 就 是 物理 层 不 安全 。 

物理 层 安全 措施 : 使 用 交换 机 替代 Hub， 为 无 线 AP 配置 密码 实现 无 线 设备 的 接 入 保护 
和 实现 数据 加 密 通 信 。 


2. 数据 链 路 层 安 全 


数据 链 路 层 攻 击 : 恶意 获取 数据 或 MAC 地 址 。 由 于 大 多 数 IDS 和 操作 系统 对 网 络 层 以 
下 的 防御 很 弱 ， 因 此 很 危险 。 攻 击 方式 有 ARP 欺骗 、ARP 广播 ， 同 一 网 段 有 重复 的 MAC 
地 址 。 

数据 链 路 层 安全 措施 : 在 交换 机 的 端口 上 控制 连接 计算 机 的 数量 或 绑 定 MAC 地址 ， 这 
些 都 是 数据 链 路 层 安 全 。 在 交换 机 上 划分 VLAN 也 属于 数据 链 路 层 安 全 。 在 计算 机 和 路 由 
器 上 添加 IP 地 址 和 MAC 地 址 绑 定 可 防止 ARP 欺骗 。ADSL 拨号 上 网 的 账号 和 密码 实现 的 
是 数据 链 路 层 安全 。 


3. 网 络 层 安全 


网 络 层 攻 击 : IP Spoofing(IP 欺骗 )、Fragmentation Attacks( 和 碎片 攻 击 )Reassembly attacks 
重组 攻击 )、Ping of death (Ping 死 攻 击 )。 

网 络 层 安全 措施 :在 路 由 器 上 设置 访问 控制 列表 和 IPSec、 在 Windows 上 实现 的 Windows 
防火 墙 和 IPSec， 这 些 都 属于 网 络 层 安全 。 


一 


第 8 章 
网 络 安全 [和 
4. 传输 层 安 全 


传输 层 攻击 : Port Scan( 端 口 扫描 )、TCP reset attack (TCP 重 置 攻击 )、SYN DoS floods 
(SYN 拒绝 服务 攻击 )、LAND attack (LAND 攻击 )、Session hijacking (会 话 劫持 )。 

5. 应 用 层 安 全 

应 用 层 攻击 : MS-SQL Slammer worm 缓冲 区 溢出 、IIS 红色 警报 、E-mail 蠕虫、 蠕虫 、 
病毒 、 木 马 、 垃 圾 邮件 、IE 漏洞 。 

安全 措施 : 安装 杀毒 软件 ， 更 新 操作 系统 。 


8.1.2 ”典型 的 安全 网 络 架构 


许多 大 中 型 企业 网 络 中 ， 各 种 各 样 的 安全 策略 都 是 基于 内 网 、 非 军事 区 (DMZ) 路 由 
器 以 及 防火 墙 设 备 的 。 防 火 墙 通过 屏蔽 各 部 分 的 网 络 流量 来 提供 附加 的 安全 保障 ， 而 进行 这 
些 工 作 需 要 使 用 访问 控制 列表 。 

典型 的 网 络 架构 如 图 8-1 所 示 的 三 向 外 围 网 , 防火 墙 设备 连接 Internet、 内 网 和 DMZ 区 。 
DMZ 区 部 署 了 公司 对 外 的 Web 和 Mail 服务 器 ， 一 般 是 公 网 IP 地 址 。 内 网 是 私 网 IP 地 址 ， 
一 般 不 对 Internet 用 户 提供 服务 , 但 是 需要 访问 Internet。 如 果 入 侵 者 突破 了 该 防火 墙 ， 就 威 
胁 到 DMZ 和 内 网 的 安全 。 


内 网 


Internet 


庆 - 一 


从 图 8-1 三 向 外 围 网 


另外 一 种 典型 的 网 络 架 构 就 是 背靠背 防火 墙 ， 如 图 8-2 所 示 ， 两 个 防火 墙 之 间 是 DMZ 
区 ， 内 网 在 防火 墙 后 端 。 建 议 这 两 个 防火 墙 不 是 同一 家 公司 的 产品 ， 比 如 前 端 使 用 Cisco 公 
司 的 PIX 防火 墙 , 后 端 使 用 微软 的 软件 防火 墙 ISA 2006。 这 样 入 侵 者 要 想 入 侵 内 网 ， 就 需要 
突破 两 个 不 同 厂商 的 防火 墙 ， 增 加 了 难度 。 
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2 
Internet 


一 -一 


Mail 服 务 器 


全 图 8-2 背靠背 防火 墙 


8.1.3 防火墙 的 种 类 


防火 墙 总 体 上 分 为 包 过 滤 、 应 用 级 网 关 和 代理 服务 等 几 大 类 型 。 
1. 数据 包 过 滤 


数据 包 过 滤 (Packet Filtering) 技术 是 在 网 络 层 对 数据 包 进行 选择 ， 选 择 的 依据 是 系统 
内 设置 的 过 滤 逻 辑 ， 被 称 为 访问 控制 列表 (Access Control List，ACL)。 通 过 检查 数据 流 中 
每 个 数据 包 的 源 地 址 、 目 的 地 址 、 所 用 的 端口 号 、 协 议 状 态 等 因素 ,或 它们 的 组 合 来 确定 是 
否 允 许 该 数据 包 通 过 。 数 据 包 过 滤 防 火 墙 逻辑 简单 、 价 格 便宜 、 易 于 安装 和 使 用 ， 网 络 性 能 
和 透明 性 好 ， 它 通常 安装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ， 


因此 在 原 有 网 络 上 增加 这 样 的 防火 墙 几乎 不 需要 任何 额外 的 费用 。 


数据 包 过 滤 又 称 为 网 络 级 别 防火 墙 , 网 络 级 别 的 防火 墙 很 快 ,在 今天 你 仍然 可 以 在 许多 
网 络 设施 上 找到 它们 的 身影 特别 是 在 路 由 器 上 。 但 是 不 能 基于 数据 包 的 内 容 过 滤 数 据 。 


2. 应 用 级 网 关 


应 用 级 网 关 (Application Level Gateways) 是 在 网 络 应 用 层 上 建立 协议 过 滤 和 转发 功能 。 
它 针对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 滤 逻 辑 ， 并 在 过 滤 的 同时 ， 对 数据 包 进 行 
必要 的 分 析 、 登 记 和 统计 ， 形 成 报告 。 实 际 中 的 应 用 网 关 通 常安 装 在 专用 工作 站 系统 上 。 

数据 包 过 滤 和 应 用 网 关 防 火 墙 有 一 个 共同 的 特点 ， 就 是 它们 仅仅 依靠 特定 的 逻辑 判定 
是 否 允 许 数 据 包 通 过 。 一 旦 满足 逻辑 ， 防 火 墙 内 外 的 计算 机 系统 则 建立 直接 联系 ， 防 火 墙 
外 部 的 用 户 便 有 可 能 直接 了 解 防火 墙 内 部 的 网 络 结构 和 运行 状态 ， 这 有 利于 实施 非法 访问 


和 攻击 。 
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3. 代理 服务 


代理 服务 (Proxy Service) 也 称 链 路 级 网 关 或 TCP 通道 (Circuit Level Gateways or TCP 
Tunnels)， 也 有 人 将 它 归 于 应 用 级 网 关 一 类 。 它 是 针对 数据 包 过 滤 和 应 用 网 关 技 术 存 在 的 缺 
点 而 引入 的 防火 墙 技 术 , 其 特点 是 将 所 有 跨越 防火 墙 的 网 络 通信 链 路 分 为 两 段 。 防火 墙 内 儿 
计算 机 系统 间 应 用 层 的 “链接 ”由 两 个 终止 代理 服务 器 上 的 “链接 ”来 实现 ， 外 部 计算 机 的 
网 络 链 路 只 能 到 达 代理 服务 器 ， 从 而 起 到 了 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 此 外 ， 代 理 
服务 也 对 过 往 的 数据 包 进 行 分 析 、 注 册 登 记 ， 形 成 报告 ， 同 时 当 发 现 被 攻击 迹象 时 会 向 网 络 
管理 员 发 出 警报 ， 并 保留 攻击 痕迹 。 国 内 代理 服务 器 软件 有 CCProxy， 微 软 的 代理 服务 器 软 
件 ISA2006。 

防火 墙 能 有 效 地 防止 外 来 入 侵 ， 它 在 网 络 系 统 中 的 作用 如 下 。 

= ”控制 进出 网 络 的 信息 流向 和 信息 包 。 

"提供 流量 统计 和 审计 。 

"隐藏 内 部 IP 地 址 及 网 络 结构 的 细节 。 

"入侵 检测 且 对 检测 到 的 入 侵 采 取 响 应 。 


8.1.4 常见 的 安全 威胁 


因特网 变 成 今天 如 此 重要 的 工具 ,是 它 的 创建 者 绝对 想不到 的 。 在 网 络 设计 阶段 就 没有 
很 好 地 将 安全 考虑 进去 ， 这 也 是 为 什么 安全 会 变 成 如 此 大 的 问题 的 原因 一 一 TCP/IP 与 生 俱 
来 就 是 不 安全 的 。Cisco 有 许多 穿 门 帮助 我 们 来 处 理 这 些 问 题 ， 下 面 让 我 们 来 分 析 一 些 常见 
的 攻击 。 


1. 应 用 层 攻击 


这 些 攻击 通常 瞄准 运行 在 服务 器 上 的 软件 漏洞 ， 而 这 些 漏洞 众所周知 。 比 如 ， 服 务 器 
运行 FTP、Mail、HTTP 服务 都 有 可 能 有 漏洞 。 因 为 这 些 账户 的 许可 层 都 获得 了 一 定 的 特 
权 ， 如 果 这 台 计 算 机 正在 运行 以 上 提 到 的 应 用 程序 中 的 一 种 ， 恶 意 者 就 可 以 访问 并 掠 取 计 


2. Autorooters 


你 可 以 把 它 想象 为 一 种 黑客 机 器 人 。 亚 意 者 使 用 某 种 叫做 Rootkit 的 东西 来 探测 、 扫 描 
并 从 目标 计算 机 上 捕获 数据 ， 装 了 Rootkit 后 的 目标 计算 机 像 是 在 整个 系统 中 装 了 “了 眼睛 ” 
一 样 ， 自 动 监视 着 整个 系统 。 

3. 后 门 程序 

后 门 程序 是 通 往 一 个 计算 机 或 网 络 的 简洁 路 径 。 经 过 简单 入 侵 或 是 经 过 更 精心 设计 的 特 
洛 伊 木马 代码 ， 恶 意 者 可 使 用 植 入 攻击 进入 一 台 指 定 的 主机 或 是 网 络 , 无 论 何 时 它们 都 可 进 
入 一 一 除非 你 发 觉 并 阻止 它们 。 
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4. 拒绝 服务 DoS〉 和 分 布 式 拒绝 服务 器 (DDoS) 攻击 


这 些 攻 击 很 恶劣 一 一 摆脱 它们 同样 也 很 费力 。 即 使 黑客 们 都 副 视 使 用 这 种 攻击 的 黑客 
(因为 它们 如 此 令 人 厌恶 )， 但 是 它们 真 的 很 容易 就 能 实现 。 从 根本 上 说 ， 当 一 个 服务 超 范围 
索取 系统 正常 提供 它 的 资源 时 ， 它 将 变 得 不 正常 ， 而 且 存在 不 同 的 攻击 风格 。 

" TCP SYN 泛 洪 攻击 : 发 生 在 一 个 客户 端 发 起 表面 上 普通 的 TCP 连接 并 且 发 送 SYN 
信息 到 一 台 服 务 器 时 。 这 台 服 务 器 通过 发 送 SYN-ACK 信息 到 客户 端 进行 响应 ， 这 
样 就 通过 往返 ACK 信息 建立 连接 。 听 起 来 很 好 ， 但 正 是 在 这 个 过 程 〈 当 连接 仅 有 
一 半 打 开 的 时 候 ) 中 ， 受 害 的 计算 机 将 完全 被 蜂拥 而 至 的 半 打 开 连 接 所 淹没 ， 最 终 
导致 瘫痪 。 

" “死亡 之 ping” 攻 击 : 你 可 能 知道 TCP/IP 的 最 大 包 大 小 为 65536 字 节 。 不 知道 也 
没关系 ， 仅 需要 了 解 这 种 攻击 通过 使 用 大 量 数据 包 进 行 ping 操作 来 实行 攻击 ， 这 
些 数据 包 可 导致 设备 不 间断 地 重启 、 停 滞 或 完全 衣 溃 。 


5. IP 欺骗 


这 有 点 像 它 的 名 字 ， 恶 意 者 从 你 的 网 络 内 部 或 外 部 ， 通 过 做 下 列 两 件 事 之 一 : 以 你 的 内 
部 网 络 可 信 地 址 范围 中 的 IP 地 址 呈现 或 者 使 用 一 个 核准 的 、 可 信 的 外 部 IP 地 址 ， 来 伪装 
成 一 台 可 信 的 主机 。 因 为 黑客 的 真实 身份 被 隐藏 在 欺骗 地 址 之 下 ， 所 以 这 常常 仅 是 你 的 难题 
的 开始 。 


6. 中 间 人 攻击 


是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 中 的 两 台 通信 
计算 机 之 间 ， 这 人 台 计 算 机 就 称 为 “中 间 人 ”， 然 后 入 侵 者 把 这 人 台 计 算 机 模拟 一 台 或 两 台 原始 
计算 机 ， 使 “中 间 人 ”能 够 与 原始 计算 机 建立 活动 连接 并 允许 其 读 取 或 修改 传递 的 信息 ， 但 
是 两 个 原始 计算 机 用 户 却 认为 它们 是 在 互相 通信 。 


7. 网 络 侦察 

在 入 侵 一 个 网 络 之 前 ， 黑 客 经 常会 收集 所 有 关于 这 个 网 络 的 信息 ， 因 为 他 们 对 这 个 网 络 
知道 得 越 多 ， 越 容易 对 它 造 成 危害 。 他 们 通过 类 似 端 口 扫描 、DNS 查询 、ping 扫描 等 方法 
实现 他 们 的 目的 。 

8. 包 嗅 控 

包 嗅 探 的 工作 原理 : 网 络 适 配 卡 开始 工作 于 混杂 模式 , 它 发 送 的 所 有 包 都 可 以 被 一 个 特 


殊 的 应 用 程序 从 网 络 的 物理 层 窃取 ， 并 进行 查看 及 分 类 。 包 嗅 探 常 窃取 一 些 价值 高 、 敏 感 的 
数据 ， 其 中 包括 口令 和 用 户 名 ， 在 实施 身份 盗 取 时 能 获得 超 值 信息 。 


9. 口令 攻击 
口令 攻击 有 许多 方式 ， 可 经 由 多 种 较 成 熟 类 型 的 攻击 实现 。 这 些 攻击 包括 IP 欺骗 、 包 
嗅 探 以 及 特洛伊 木马 ， 它 们 唯一 的 目的 就 是 发 现 用 户 的 口令 ， 这 样 ， 它 们 就 可 以 伪装 成 一 个 


合法 的 用 户 ， 访 问 用 户 的 特许 操作 及 资源 。 
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10. 强暴 攻击 


强暴 攻击 是 另 一 种 面向 软件 的 攻击 , 使 用 运行 在 目标 网 络 的 程序 尝试 连接 到 某 些 类 型 的 
共享 网 络 资源 。 如 果 访 问 账户 拥有 很 多 特权 ， 对 于 黑客 来 说 这 是 非常 完美 的 ， 因 为 这 些 恶 意 
者 可 以 开启 后 门 ， 再 次 访问 就 可 以 完全 绕 过 口令 。 


11. 端口 重 定向 攻击 


端口 重 定向 攻击 要 求 黑客 已 经 侵入 主机 ,并 经 由 防火 墙 得 到 被 改变 的 流量 (这 些 流 量 通 
常 是 不 被 允许 通过 的 )。 


12. 特洛伊 木马 攻击 和 病毒 


这 两 种 攻击 实际 上 比较 相似 : 特洛伊 木马 和 病毒 都 使 用 恶意 代码 感染 用 户 计 算 机 ， 使 得 
用 户 计算 机 遭受 不 同 程度 的 瘫痪 、 破 坏 甚至 崩溃 。 但 是 它们 之 间 还 是 有 区 别 的 : 病毒 是 真正 
恶意 程序 , 附着 在 command.com 文件 之 上 ,而 command.com 又 是 Windows 系统 的 主要 解释 
文件 。 病 毒 接着 会 疯狂 地 运行 ， 删 除 文 件 并 且 感 染 计 算 机 上 任何 command.com 的 文件 ， 特 
洛 伊 木马 是 一 个 封装 了 秘密 代码 的 真正 的 完整 应 用 程序 , 这 些 秘密 代码 使 得 它们 呈现 为 完全 
不 同 的 实体 ， 表 面 上 像 是 一 个 简单 、 天 真 的 游戏 ， 实 际 上 具有 丑陋 的 破坏 工具 的 本 质 。 


13. 信任 利用 攻击 


信任 利用 攻击 发 生 在 内 网 之 中 ， 由 某 些 人 利用 内 网 中 的 可 信 关 系 来 实施 。 例 如 ， 一 个 公 
司 的 非 军事 网 络 连接 中 通常 运行 着 类 似 SMTP、DNS 以 及 HTTP 服务 器 等 重要 的 东西 , 一 旦 
和 它们 处 在 同一 网 段 时 ， 这 些 服务 器 很 容易 遭受 攻击 。 

在 这 里 不 打算 详细 介绍 如 何 降低 上 述 每 一 种 安全 威胁 ， 不 仅 是 因为 这 将 超出 本 书 的 范 
围 ， 也 是 因为 我 打算 教 给 你 的 将 是 真正 保护 你 远离 攻击 的 一 般 方法 。 

因此 ， 基 本 上 可 以 认为 本 章 在 讲述 如 何 实现 “网 络 层 安全 ”。 


区 本 | 访问 控制 列表 


你 公司 可 能 有 多 个 部 门 ， 每 个 部 门 的 计算 机 有 一 个 单独 的 VLAN， 公 司 的 路 由 器 实现 
VLAN 间 路 由 且 连 接 Internet。 如 果 你 打算 只 允许 市 场 部 门 的 计算 机 也 就 是 VLAN1 能 够 访问 
Internet 的 资源 ,而 不 允许 QQ、MSN 等 聊天 工具 登录 ;销售 部 门 的 计算 机 不 允许 访问 Internet， 
如 何 实现 这 样 的 控制 呢 ? 

路 由 器 不 但 能 够 在 不 同 网 段 转 发 数据 包 ， 而 且 还 能 够 基于 数据 包 的 目标 地 址 、 源 地 址 、 
协议 和 端口 号 来 允许 特定 的 数据 包 通过 或 拒绝 通过 。 要 实现 这 样 的 控制 需要 在 路 由 器 定义 访 
问 控制 列表 (ACL)， 并 将 这 些 ACL 绑 定 到 路 由 器 的 接口 。 

下 面 将 会 为 大 家 介绍 两 种 类 型 的 访问 控制 列表 ， 即 标准 访问 控制 列表 和 扩展 访问 控 
制 列 表 。 
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8.2.1 标准 访问 控制 列表 


标准 访问 控制 列表 只 基于 IP 数据 包 的 源 IP 地 址 作为 转发 或 是 拒绝 的 条 件 。 所 有 决定 是 
基于 源 IP 地 址 的 ， 这 意味 着 标准 的 访问 控制 列表 基本 上 人 允许 或 拒绝 整个 协议 组 。 它 们 不 区 
分 流量 类 型 ， 例 如 Telnet、UDP 等 服务 。 

打开 随 书 光盘 中 第 8 章 练习 “01 标准 访问 控制 列表 .pkt”， 网 络 拓扑 如 图 8-3 所 示 ， 网 
络 中 的 路 由 器 和 计算 机 的 IP 地 址 已 经 按照 拓扑 中 的 标识 地 址 配置 完成 ， 路 由 器 上 配置 了 相 


应 的 路 由 。Router0 是 企业 内 网 的 路 由 器 ， 内 网 有 三 个 网 段 ，Routerl 模拟 的 是 Internet 上 的 


Internet 
ees 


192. 168.2.0/24 


和 192. 168. 1.0/24 


bs 
PC-PT PC-PT 
PC2 PC3 


全 图 8-3 标准 访问 控制 列表 实验 环境 
在 路 由 器 Router0 上 定义 访问 控制 列表 ,将 其 作为 Router0 的 S3/0 接口 的 出 站 访问 控制 


列表 ， 因 为 市 场 部 和 财务 部 的 计算 机 要 访问 Internet 必须 从 Router0 的 S3/0 接口 转发 出 去 。 
操作 步骤 如 下 。 
(1) 使 用 PC7 ping WebServer、FTP ping WebServer， 发 现 都 能 通 。 如 果 没 有 配置 ACL， 
默认 网 络 是 畅通 的 。 
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PC>ping 10.0.0.2 

(2) 在 Router0 上 创建 ACL。 
Router>en 

Router#config 七 


Router (config) #access-list ? 


<1-99> IP standard access list -- 标 准 ACL 的 编号 范围 是 1 一 99 
<100-199> IP extended access list -- 扩 展 ACL 的 编号 范围 是 100 一 199 


Router (config) #access-list 10 permit 192.168.2.0 0.0.0.255 
Router (config) #access-list 10 permit 192.168.1.0 0.0.0.255 


以 上 命令 定义 了 一 个 标准 访问 控制 列表 10, 标准 访问 控制 列表 的 编号 可 以 是 1~ 
99 之 间 的 任何 值 。 
后 面 的 0.0.0.255 是 反 转 掩 码 , 也 就 是 二 进 制 的 子 网 掩 码 中 将 0 变 成 1、1 变 成 0， 
然后 写成 十 进 制 。 


该 ACL 10 允许 源 地 址 是 192.168.2.0 255.255.255.0 和 192.168.1.0255.255.255.0 
网 段 的 数据 包 通 过 。 
访问 控制 列表 的 any 和 0.0.0.0 255.255.255.255 等 价 。 


(3) 将 ACL 10 绑 定 到 Router0 的 S3/0 出 口 。 
Router (config) #interface Serial 3/0 


Router (config-if) #ip access-group 10 ? 


in inbound packets --in 表示 进入 接口 时 检查 
out outbound packets --out 表示 出 接口 时 检查 
Router (config-if) #ip access-group 10 out -- 标 准 ACL 10 出 去 时 检查 


使 用 PC7 ping WebServer， 发 现 能 够 ping 通 
使 用 FTP ping WebServer， 有 以 下 输出 : 
Reply from 192.168.0.1: DestiNATion host unreachable. 


ACL 拦截 后 , 返回 计算 机 目标 主机 不 可 到 达 的 。 可 以 看 到 ACL 默认 隐 含 拒绝 所 有 流量 。 


每 个 接口 、 每 个 协议 或 每 个 方向 只 能 分 派 一 个 访问 列表 ， 这 意味 着 如 果 创 建 了 
IP 访问 列表 ， 每 个 接口 只 可 以 有 一 个 入 口 访问 列表 和 一 个 出 口 访问 列表 。 

除非 在 访问 列表 末尾 有 permit any 命令 ， 否 则 所 有 和 列表 测试 条 件 不 符 的 数据 
包 都 将 被 丢弃 。 

每 个 列表 应 该 至 少 有 一 个 允许 语句 ， 否 则 将 会 拒绝 所 有 流量 。 


先 创建 访问 列表 , 然后 将 列表 应 用 到 一 个 接口 。 任何 应 用 到 接口 的 访问 列表 如 果 
不 是 现成 的 访问 列表 ， 那 么 此 列表 不 会 过 滤 流 量 。 
访问 列表 设计 为 过 滤 通 过 路 由 器 的 流量 ， 但 不 过 滤 路 由 器 产生 的 流量 。 
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修改 现 有 的 访问 控制 列表 


继续 以 上 的 实验 。 

上 面 的 实验 已 经 在 Router0 上 配置 了 标准 的 访问 控制 列表 10, 只 允许 市 场 部 和 财务 部 的 
计算 机 能 够 访问 mternet， 但 是 拒绝 市 场 部 计算 机 PC7 访问 Internet。 如 何 更 改 访问 控制 列表 
才能 达到 以 上 目的 。 

在 ACL 10 中 添加 一 条 拒绝 主机 192.168.2.2 的 设置 。 

Router (config) #access-list 10 deny host 192.168.2.2 

host 192.168.2.2 等 价 于 192.168.2.2 0.0.0.0。 

使 用 PC7 ping WebServer 发 现 还 是 能 够 通 。 设 置 不 起 作用 ， 为 什么 呢 ? 


Router (config) #^2Z 


Router#show access-lists 10 -- 查 看 ACL 


Standard IP access list 10 


permit 192.168.2.0 0.0.0.255 (4 match (es) -- 第 1 条 
permit 192.168.1.0 0.0.0.255 -- 第 2 条 
deny host 192.168.2.2 -- 第 3 条 


我 们 看 到 ACL 中 的 顺序 和 添加 时 的 顺序 一 致 。 

路 由 器 在 应 用 访问 控制 列表 时 , 会 逐一 从 上 到 下 检查 , 如果 发 现 匹 配 的 就 不 再 检 
查 ACL 中 后 面 的 设置 。 拒 绝 主机 192.168.2.2 的 第 3 条 不 会 用 上 ， 因 为 第 1 条 就 
已 经 允许 了 。 


此 需要 将 第 3 条 的 设置 放置 到 第 1 条 的 位 置 ,但 是 路 由 器 没有 为 你 提供 调整 顺 
序 的 功能 ， 需 要 删除 ACL， 重 新 创建 。 这 里 有 一 个 技巧 ， 你 可 以 在 记事 本 中 将 
ACL 的 顺序 调整 好 ， 如 图 8-4 所 示 ， 再 将 记事 本 中 的 内 容 直 接 粘 贴 到 全 局 配置 
模式 下 路 由 器 配置 的 CLI。 


[EE s+ -~ [15 
Er "0) 

access-list 10 deny host 192 i 

access-list 10 permit 192. 0. 0.0.255 
access-list 10 permit 192. 168. 和 0 0.0.0.255 


全 图 8-4 记事 本 中 的 内 容 
Router (config) #no access-list 10  ” -- 删 除 ACL 10 的 所 有 设置 
Router (config) #access-list 10 deny host 192.168.2.2 
Router (config) #access-list 10 permit 192.168.2.0 0.0.0.255 
Router (config) #access-list 10 permit 192.168.1.0 0.0.0.255 


用 PC7 ping WebServer 不 能 通 ， 使 用 PC4 ping WebServer 能 够 通 ， 达 到 了 预期 的 目的 。 
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组 织 好 访问 控制 列表 ， 要 将 更 加 具体 的 地 址 或 网 段 放 在 访问 控制 列表 的 最 前 面 。 
任何 时 候 访问 列表 添加 新 条 目 时 ， 将 把 新 条 目 放置 到 列表 的 末尾 。 强 烈 推 荐 使 用 
文本 编辑 器 编辑 访问 列表 。 


不 能 从 访问 列表 中 删除 一 行 。 如 果 试 着 这 样 做 ， 将 删除 整个 列表 。 最 好 在 编辑 列 
表 之 前 将 访问 列表 复制 到 一 个 文本 编辑 器 中 。 只 有 使 用 命名 访问 列表 时 例外 。 


8.2.2 ”扩展 访问 控制 列表 


扩展 访问 控制 列表 可 以 基于 IP 包 的 第 3 层 和 第 4 层 信息 作为 数据 包 是 否 转发 的 条 件 ， 
也 就 是 能 够 基于 数据 包 的 源 地 址 、 目 标 地 址 、 协 议和 目标 端口 这 些 条 件 来 决定 是 否 转 发 数据 
包 。 这 使 得 扩展 访问 控制 列表 比 标准 访问 控制 列表 的 控制 粒度 更 细 。 

打开 随 书 光盘 中 第 8 章 练习 “02 扩展 访问 控制 列表 .pkt”， 网 络 拓扑 如 图 8-5 所 示 ， 网 
络 中 的 路 由 器 和 计算 机 的 IP 地 址 已 经 按照 网 络 拓扑 中 的 标识 地 址 配置 完成 ， 路 由 器 上 已 经 
配置 了 相应 的 路 由 .Router0 是 企业 内 网 的 路 由 器 ,内 网 有 三 个 网 段 , Routerl 模拟 的 是 Internet 
上 的 路 由 器 。 


Internet 


Server-PT 
Web 


192. 168.0. 0/24 3 Po 
PC5 


192. 168. 2.0/24 


2 a 192. 168. 1.0/24 


J, FF __ 几 
PC-PT PC-PT 
PC2 PC3 


全 图 8-5 扩展 访问 控制 列表 实验 环境 
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在 Router0 上 定义 扩展 访问 控制 列表 实现 以 下 功能 。 
允许 市 场 部 的 计算 机 能 够 访问 Internet。 


允许 财务 部 的 计算 机 只 能 访问 Internet 的 10.0.0.0/8 网 段 的 Web 服务 器 。 
服务 器 组 中 的 计算 机 能 够 ping 通 Internet 的 任何 计算 机 。 


操作 步骤 如 下 。 
(1) 在 Router0 上 创建 扩展 访问 控制 列表 。 
Router>en 


Router#config t 
Router (config) #access-list 101 permit ip 192.168.2.0 0.0.0.255 any 
Router (config) #access-list 101 permit TCP 192.168.1.0 0.0.0.255 10.0.0.0 
0.255.255.255eq? 
<0-65535> Port number 


ftp File Transfer Protocol (21) 

pop3 Post Office Protocol v3 (110) 

smtp Simple Mail Transport Protocol (25) 

telnet Telnet (23) 

WWW World Wide Web (HTTP，80) --eq 后面 可 以 是 端口 或 应 用 层 协议 名 称 


Router (config) #access-list 101 permit TCP 192.168.1.0 0.0.0.255 10.0.0.0 
0.255.255.255, eq 80 

Router (config) #access-list 101 permit icmp 192.168.0.0 0.0.0.255 any 

扩展 访问 控制 列表 的 语法 : 

Access-list 编号 {permit | deny} {TCP | UDP } 源 地 址 目标 地 址 eq 目标 端口 

Access-list 编号 {permit | deny} {IP 1ICMP } 源 地 址 目标 地 址 

如 果 协 议 是 IP 或 ICMP， 则 后 面 没 有 目标 端口 。 

如 果 你 允许 了 IP 协议 ， 就 等 同 于 允许 了 所 

有 TCP、UDP 以 及 ICMP 协议 的 流量 。 «07 一 有一 本 EE 

(2) 将 扩展 访问 控制 列表 绑 定 到 Router0 的 | 一 

接口 。 Web Browser 


| ES (> URL pep:miooos 


Router (config) #interface Serial 3/0 


i | Packet T 
ROD SS SS res are visiting the web site on WebServer! 
| 
Suk Quick Links: 
(3) 验证 扩展 访问 控制 列表 的 设置 。 | | ternetteb 


eopyriahts 


市 场 部 的 计算 机 PC7 能 够 ping 通 Internet 

上 任何 计算 机 , 也 能 够 访问 WebServer 的 网 | 
站 ， 如 图 8-6 所 示 。 
财务 部 的 计算 机 PC2 不 能 ping 通 Internet 全 图 8-6 访问 Web 站 点 
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上 任何 计算 机 ， 也 能 够 访问 WebServer 的 网 站 
服务 器 组 的 计算 机 能 ping 通 Internet 上 任何 计算 机 ， 但 不 能 访问 WebServer 的 网 站 。 


8.2.3 ”使 用 访问 控制 列表 保护 路 由 器 


为 了 远程 配置 路 由 器 方便 ， 路 由 器 一 般 都 开启 了 Telnet 功能 ， 如 何 保护 路 由 器 的 安全 
呢 ? 你 可 以 创建 访问 控制 列表 只 允许 特定 的 计算 机 能 够 Telnet 路 由 器 。 路 由 器 的 任何 一 个 接 
口 都 允许 Telnet， 你 不 得 不 将 访问 控制 列表 应 用 到 每 个 接口 的 入 口 方向 上 ， 这 对 一 个 具有 十 
几 个 甚至 上 百 个 接口 的 大 型 路 由 器 来 说 不 是 很 好 的 办 法 。 这 里 有 更 好 的 解决 方案 : 使 用 标准 
的 IP 访 问 列表 控制 访问 VTY 线路 。 

打开 随 书 光盘 中 第 8 章 练习 “03 使 用 访问 控制 列表 保护 路 由 器 安全 .pkt”， 网 络 拓扑 如 
图 8-7 所 示 ， 路 由 器 和 计算 机 的 IP 地 址 已 经 按照 图 示 的 地 址 配置 ， 且 路 由 器 已 经 配置 Telnet 
密码 和 enable 密码 ， 分 别 为 hanlg 和 todd。 现 在 任何 一 个 计算 机 都 可 以 Telnet 路 由 器 。 

为 了 安全 起 见 ， 你 需要 在 Router0 上 创建 标准 访问 控制 列表 ， 只 允许 ITG 部 门 的 计算 机 
可 以 Telnet 路 由 器 。 


dy, 
Switch2 PC-PT 


Switch0 


服务 器 组 


Server-PT 市 场 部 


Web 

一 

PC-PT 
PC5 


192. 168. 2. 0/24 


192. 168. 0. 0/24 


3 
192. 168. 1.0/24 
s 


全 图 8-7 使 用 访问 控制 列表 保护 路 由 器 安全 
(1) 在 PC7 上 Telnet 路由器， 发 现 只 要 密码 输入 正确 就 能 Telnet 成 功 。 


PC>telnet 192.168.2.1 

(2) 在 Router0 上 创建 标准 的 访问 控制 列表 。 

Router (config) #access-list 12 permit 192.168.1.0 0.0.0.255 -- 定 义 ACL 
Router (config) #line vty 0 15 =-- 进 入 VTY 虑 接口 


Router (config-line) #access-class 12 in =-- 绑 定 ACL 
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(3) 验证 只 有 ITG 部 门 的 计算 机 能 够 Telnet 到 路 由 器 。 
PC7 telnet 路 由 器 ，PC2 telnet 路 由 器 
PC>telnet 192.168.2.1 


区 3 基于 时 间 的 访问 控制 列表 


扩展 访问 控制 列表 可 以 和 时 间 段 结合 起 来 过 滤 流 量 上 网 。 比 如 , 在 路 由 器 上 面 设置 时 间 
段 : 周一 到 周 五 9:00-12:00 和 14:00-18:00， 在 这 段 时 间 里 面 员 工 能 访问 Internet， 周 六 和 周 
日 只 能 访问 nternet 的 Web 站 点 和 DNS 域名 解析 的 流量 通过 。 

基于 时 间 的 访问 控制 列表 在 Packet Tracer 软件 中 的 路 由 器 不 支持 。 使 用 Dynamips 软 
件 进行 基于 时 间 的 访问 控制 列表 的 实验 ， 路 由 器 RA、RB 和 RC 的 连接 如 图 8-8 所 示 。 并 
不 是 所 有 的 IOS 都 支持 基于 时 间 的 ACL， 下 面 的 实验 中 使 用 Dynamips 加 载 了 
unzip-c3640-js-mz.124-10.bin 操作 系统 的 虚拟 的 路 由 器 ， 按 照 图 示 的 IP 地 址 规划 将 路 由 器 
的 接口 配置 IP 地 址 ， 并 且 在 路 由 器 上 添加 了 路 由 表 ， 使 整个 网 络 是 畅通 的 。RB 模拟 的 是 
连接 内 网 和 Internet 的 防火 墙 路 由 器 。 以 下 所 有 的 操作 在 路 由 器 RB 上 。 


131. 107. 1. 0/24 
Fal/0 
一 二 Ac 


uter-PT 1 Se PC-PT 
RA 2 pco 


2 


EX 
内 网 Fa0/0 tab pT 
RC\ Fal/0 


2950T-24 2950T-24 
SwitchO Switchl 
192. 168. 1.0/24 192. 168.2.0/24 


全 图 8-8 基于 时 间 的 访问 控制 列表 


8.3.1 查看 和 设置 路 由 器 的 时 间 
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查看 路 由 器 当前 的 时 间 ， 如 果 不 对 ， 应 该 先 配置 路 由 器 的 时 间 ， 然 后 创建 时 间 段 ， 为 访 


问 控制 列表 指定 时 间 段 。 
RB#show clock 一 -显示 路 由 器 上 当前 时 间 
10:25:32.955 UTC Mon Nov 15 2010 -- 当 前 时 间 是 2010 年 11 月 15 日 10 点 25 分 32 秒 
Mon 是 Monday( 星 期 一 ) 的 缩写 , Nov 是 November(11 月 ) 的 缩写 ,UTC 代表 CoordiNATed 
Universal Time (协调 世界 时 )。 


RB#clock set 10:49:23 15 Nov 2010 -- 将 时 间 设 置 为 2010 年 11 月 15 日 ,10 点 49 分 


8.3.2 ”定义 时 间 段 


如 图 8-9 所 示 , 定义 一 个 工作 时 间 段 work-time， 周 一 到 周 五 的 8:00-12:00、14:00-18:00; 
定义 一 个 weekend-time， 周 六 、 周 日 全 天 。 


RBCconf ig)ttine—range work-tine 
RBCconf ig-tine-range)tiperiodic ? 

Friday Friday 

Monday Monday 

Saturday Saturday 

Sunday Sunday 

Thursday 。 Thursday 

Tuesday Tuesday 

Wednesday Wednesday 

daily Every day of the week 

weekdays Monday thru Friday 

veekend ~ Saturday and Sunday 
RBCconf ig-tine—range) periodic weekdays 8:98 to 12:98 
RBCconf ig-tine—range)tperiodic weekdays 14:99 to 18:99 
RBCconf ig-tine—range )Hexi 


全 图 8-9 定义 时 间 段 
如 图 8-10 所 示 ，Weekdays 代表 周一 到 周 五 ，Weekend 代表 周 六 和 周 日 两 天 。 


RBCconf ig)#time—range weekend 


RBCconf ig-time—range)##periodic weekend @:@0 to 23:59 
RBCconf ig-time—range)#exi 


全 图 8-10 定义 时 间 段 
以 下 命令 查看 定义 的 时 间 段 ， 如 图 8-11 所 示 。 


RB#show time—-range 

time-—range entry: weekend Cinactive》 
periodic weekend @:88 to 23:59 

time—range entry: WoFk-time 《inactivue> 
periodic weekdays 8:D9 to 12:99 
periodic weekdays 14:99 to 18:99 


全 图 8-11 查看 定义 的 时 间 段 


8.3.3 ”在 访问 控制 列表 中 使 用 时 间 


在 创建 扩展 访问 控制 列表 时 可 以 指定 时 间 创建 的 时 间 段 。 在 你 指定 的 时 间 周期 内 所 涉及 
的 任务 功能 将 会 执行 ， 这 个 时 间 周 期 依据 路 由 器 的 时 钟 ， 如 图 8-12 所 示 。 
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RBCconf ig?#access-1list 119 permit ip any any time—range work-time 
RBKconfig?#access-1list 118 permit TCP any any eq 80 time—range weekend 
RBCconf ig?#access-1list 118 permit UDP any any eq 53 time-Frange weekend 
全 图 8-12 在 访问 控制 列表 中 使 用 时 间 
查看 刚才 定义 的 扩展 访问 控制 列表 ， 如 图 8-13 所 示 。 


RB#show access-lists 

Extended IP access list 119 
19 permit ip any any time—-range work-time 〈《inactiue> 
20 pekmit tcp any any eq www time-Fange weekend 《inactiuve》 
30 permit udp any any eq domain time-range weekend (Cinactive>》 


全 图 8-13 查看 定义 的 访问 控制 列表 
将 访问 控制 列表 绑 定 到 接口 ， 如 图 8-14 所 示 。 


RBCconfiq>#interface serial 2/0 
RBCconf ig—-if Y#ip access-group 119 in 


全 图 8-14 将 访问 控制 列表 绑 定 到 接口 


区 79 使 用 访问 控制 列表 降低 安全 威胁 


下 面 的 实验 中 使 用 Dynamips 加 载 了 unzip-c3640-js-mz.124-10.bin 操作 系统 的 虚拟 的 路 
由 器 ， 路 由 器 的 网 络 拓扑 如 图 8-15 所 示 ， 内 网 有 三 个 网 段 192.168.0.0/24、192.168.1.0/24 和 
192.168.2.0/24，Internet 用 131.107.0.0/24 和 131.107.1.0/24 两 个 网 段 来 模拟 ， 路 由 器 RB 连 
接 Internet 和 内 网 。 网 络 中 路 由 器 的 IP 地 址 和 路 由 表 已 经 配置 完成 。 运 行 Dynamips 软件 的 
虚拟 机 和 RA 相连 ， 就 是 图 8-15 中 的 PC0。 

将 在 RB 路 由 器 上 配置 访问 控制 列表 ， 用 以 消除 以 下 威胁 。 

" IP 地址 欺骗 一 一 入 站 ; 

" IP 地址 欺骗 一 一 出 站 ; 

" ”DoS TCP SYN 攻击 一 一 阻塞 外 部 攻击 ; 

" ”DoS TCP SYN 攻击 一 一 使 用 TCP 拦截 ; 

= DoS Smurf 攻击; 

" ”过 滤 ICMP 消息 一 一 入 站 ; 

”过滤 ICMP 消息 一 一 出 站 ; 

”过滤 ICMP 消息 路 由 跟踪 。 

以 下 将 会 针对 每 一 种 网 络 攻 击 创 建 一 个 访问 控制 列表 ， 网 络 拓扑 如 图 8-15 所 示 。 如 果 
你 打算 在 一 个 访问 控制 列表 中 针对 多 种 网 络 攻 击 进行 防范 , 就 需要 将 下 面 的 访问 控制 列表 进 
行 合 并 ， 并 且 需 要 考虑 在 访问 控制 列表 中 的 顺序 。 
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131.107.1.0124 


6 
内 网 Faoyo 

+ 

Wa it 

2950T-24 2950T-24 

Switch0 Bulohd 


192, 168. 1.0/24 192. 168.2.0/24 


全 图 8-15 访问 控制 列表 降低 安全 威胁 实验 环境 


8.4.1 IP 地 址 欺骗 对 策 


攻击 者 经 常用 来 获取 网 络 信息 的 一 种 方法 是 冒充 成 一 个 网 络 中 可 信 的 成 员 。 攻击 者 欺骗 
数据 包 中 的 源 IP 地 址 ， 然 后 发 往 内 部 网 络 。 攻 击 者 只 需要 将 数据 包 中 的 源 卫 地 址 改 成 一 个 
属于 内 部 子 网 的 地 址 即 可 。 


1. 入 站 


决 不 允许 任何 源 地 址 是 内 部 主机 地 址 或 网 络 地 址 的 数据 包 进入 一 个 私有 的 网 络 。 


(config) #access-list 150 deny ip 127.0.0.0 0.255.255.255 any log 
(config) #access-list 150 deny ip 0.0.0.0 255.255.255.255 any log 
(config) #access-list 150 deny ip 10.0.0.0 0.255.255.255 any log 
(config) #access-list 150 deny ip 172.16.0.0 0.15.255.255 any log 
(config) #access-list 150 deny ip 192.168.0.0 0.0.255.255 any log 
(config) #access-list 150 deny ip 224.0.0.0 15.255.255.255 any log 
(config) #access-list 150 deny ip host 255.255.255.255 any log 
(config) #access-list 150 permit ip any any 


(config) #interface Serial 2/0 


EE 


(config-if) #ip access-group 150 in 
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后 面 log 的 作用 是 : 当 数 据 包 应 用 该 策略 被 拒绝 时 将 会 在 控制 台 显示 。 
这 个 访问 控制 列表 拒绝 任何 来 自 以 下 源 地 址 的 数据 包 : 

" ”任何 本 地 主机 地 址 (127.0.0.0/8》; 

" ”任何 保留 的 私有 地 址 ; 

= ”任何 组 播 IP 地 址 (224.0.0.0/4)。 


2. 出 站 


关 示 允许 任何 含有 非 内 部 网 络 有 效 地 址 的 IP 数据 包 出 站 。 


则 


RB (config) #access-list 105 permit ip 192.168.0.0 0.0.255.255 any 
RB (config) #access-list 105 deny ip any any log 
RB (config) #interface Serial 2/0 


RB (conofig-if) #ip access-group 105 out 


8.4.2 ”DoS TCP SYN 攻击 对 策 


应 对 DoS TCP SYN 攻击 有 两 种 方法 : 阻塞 外 部 访问 和 使 用 TCP 拦截 。 
1. 阻塞 外 部 访问 
DoS TCP SYN 攻击 会 向 内 部 网 络 发 送 大 量 数据 包 ， 企 图 淹没 接收 结 点 的 连接 队列 。 


RB(config)#access-list 109permit tcpany 192.168.0.00.0.255.255 established 

RB (config) #access-list 109 deny ip any any log 

RB (config) #interface Serial 2/0 

RB (config-if) #ip access-group 109 in 

这 个 访问 控制 列表 允许 来 自 外 部 网 络 的 对 源 自 内 部 网 络 的 请 求 响 应 , 拒绝 任何 从 外 部 网 
络 发 起 的 TCP 连接 。 


2. 使 用 TCP 拦截 


TCP 拦截 CTCP Intercept) 是 一 种 防止 内 部 网 络 主机 遭受 外 部 TCP SYN 攻击 的 工具 。 
以 下 的 访问 控制 列表 只 允许 可 达 的 外 部 主机 发 起 对 内 部 主机 的 TCP 连接 ， 阻 塞 来 自 不 可 达 
主机 的 数据 包 。 

RB (config) #ip tcp intercept list 110 一 -在 访问 控制 列表 110 上 启用 TcP 拦截 

RB (config) #access-list 110 permit tcp any 192.168.0.0 0.0.255.255 

RB (config) #access-list 110 deny ip any any log 


RB (config) #interface Serial 2/0 
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RB (config-if) #ip access-group 110 in 

TCP 拦截 监视 TCP 分 组 ， 判 断 正 被 请 求 的 连接 是 否 完成 。 如 果 TCP 的 连接 请 求 来 自 一 
个 不 可 达 或 者 欺骗 性 的 源 地 址 ， 那 么 就 可 能 出 现 拒绝 服务 (Denial-of-Service，DoS) 攻击 ， 
目标 服务 器 留 下 了 大 量 打开 一 半 的 连接 ， 最 终 会 耗 尽 内 存 。 

TCP 拦截 能 够 运行 在 拦截 模式 ， 此 时 路 由 器 积极 地 按照 这 些 步骤 执行 。 

(1) 路 由 器 拦截 来 自 请 求 方 的 TCP 请 求 分 组 。 

(2) 路 由 器 代表 目标 服务 器 向 请 求 方 发 回 一 个 代理 的 应 答 。 

(3) 路 由 器 等 候 请 求 方 用 它 的 确认 (ACK) 跟 进 。 

(4) 如 果 连 接 的 握手 进行 到 此 ， 那 么 路 由 器 向 目标 服务 器 发 送 原来 的 请 求 分 组 ， 路 由 器 

执行 了 一 次 代理 的 三 次 握手 ， 就 好 像 目 标 在 和 请 求 方 通信 一 样 。 

(5) 请 求 方 和 目标 服务 器 得 到 许可 执行 一 次 正常 的 TCP 连接 。 

拦截 模式 中 ，TCP 拦截 能 够 在 处 于 DoS 攻击 而 收 到 大 量 不 完整 的 连接 请 求 时 变 得 更 为 
主动 。 主 动 模式 中 ， 每 个 新 的 连接 请 求 都 会 让 过 去 的 一 次 不 完整 连接 被 删除 。 路 由 器 还 将 重 
传 超时 减少 一 半 ， 并 且 把 等 待 连接 建立 的 时 间 减 少 一 半 。 

TCP 拦截 还 能 够 运行 在 监视 模式 ， 此 时 路 由 器 被 动 地 进行 监视 ， 查 看 是 否 建立 了 TCP 
连接 。 如 果 在 一 段 超时 时 间 内 没有 建立 连接 ， 那 么 路 由 器 就 向 目标 服务 器 发 送 一 个 TCP 复 
位 (RST) 信号 以 清除 打开 一 半 的 连接 。 

拦截 配制 步骤 如 下 。 

(1) 使 用 扩展 访问 控制 列表 识别 TCP 连接 请 求 。 

(2) 使 用 访问 控制 列表 触发 TCP 拦截 。 

(global) ip tcp intercept list acc-list-number 

(3) 设 定 TCP 拦截 模式 ，intercept 为 主动 ，watch 为 被 动 。 

(global) ip tcp intercept mode {intercept|watch} 

(4) 调节 TCP 拦截 行为 。 

设 定 丢 弃 模 式 : oldest， 丢 弃 超 时 时 间 最 长 的 〈 默 认 ); random， 随 机 丢弃 。 


(global) ip tcp intercept drop-mode {oldest | random} 


8.4.3 DoS Smurf 攻击 对 策 


Smurf 攻击 是 向 一 个 路 由 器 子 网 广播 地 址 , 发 送 大 量 的 ICMP 包 , IP 地 址 则 伪装 成 属于 
这 个 子 网 。 以 下 例子 的 目的 是 防止 转发 广播 ， 杜 绝 Smurf 攻击 。 

RB (config) #access-list 111 deny ip any host 192.168.0.255 log 
RB (config) #access-list 111 deny ip any host 192.168.1.255 log 


RB (config) #access-list 111 deny ip any host 192.168. 


0 
1 

RB (config) #access-list 111 deny ip any host 192.168.2.255 log 
0.0 log 
ll 


RB (config) #access-list 111 deny ip any host 192.168.1.0 log 
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RB (config) #access-list 111 deny ip any host 192.168.2.0 log 
RB (config) #interface Serial 2/0 


RB (config-if) #ip access-group 111 in 


这 个 ACL 过 滤 了 所 有 发 往 特定 广播 地 址 的 IP 数据 包 。 


8.4.4 过 滤 ICMP 消息 


1. 入 站 

ICMP Echo 数据 包 可 用 来 发 现 子 网 和 受 保护 网 络 中 的 主机 ， 也 能 用 来 实施 DoS 攻击 。 
ICMP 重 定向 消息 可 用 来 更 改 主机 路 由 选择 表 。 无 论 是 ICMP Echo 还 是 重 定向 消息 ， 都 应 该 
被 路 由 器 做 入 站 阻塞 。 


RB (config) #access-list 112 deny icmp any any echo log 


RB (config) #access-list 112 deny icmp any any redirect log 

RB (config) #access-list 112 deny icmp any any mask-request log 

RB (config) #access-list 112 permit icmp any 192.168.0.0 0.0.255.255 
RB (config) #interface Serial 2/0 


RB (config) #ip access-group 112 in 


2. 出 站 


下 列 ICMP 消息 用 作 网 管 ， 应 该 允许 出 站 。 

" ”回声 (Echo〉: 允许 用 户 ping 外 部 主机 ; 

= ”参数 问题 (Parameter problem) : 通知 主机 数据 包头 问题 ; 
= ”数据 包 太 大 (Packet too big) : i MTU 发 现 ; 

" ” 源 队 列 (Source quench) : 必要 时 遏制 流量 。 
应 该 阻止 其 他 ICMP 消息 出 站 。 


RB (config) #access-list 114 permit icmp 192.168.0.0 0.0.255.255 any echo 


RB (config ) #access-list 114 permit icmp 192.168.0.0 0.0.255.255 any 
Parameter-problem 

RB (config ) #access-list 114 permit icmp 192.168.0.0 0.0.255.255 any 
Packet-too-big 

RB (config) #access-list 114 Permit icmp 192.168.0.0 0.0.255.255 any 
source-quench 

RB (config) #access-list 114 deny icmp any any log 

RB (config) #interface Serial 2/0 


RB (config-if) #ip access-group 114 out 
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3. 路 由 跟踪 


路 由 跟踪 (traceroute ) 特性 是 通过 一 些 ICMP 消息 类 型 来 实现 的 。 路 由 跟踪 会 显示 数据 
包 从 源 到 目的 地 所 经 过 的 路 由 器 结 点 的 IP 地 址 。 攻 击 者 可 以 利用 对 路 由 跟踪 ICMP 消息 的 
响应 来 刺探 子 网 和 受 保护 网 络 的 主机 。 

应 该 阻止 所 有 入 站 和 出 站 的 路 由 跟踪 UDP 消息 。 

RB (config) #access-list 120 deny udp any any range 33400 34400 log 


RB (config) #interface serial 2/1 

RB (config-if) #ip access-group 120 in 

RB (config) #access-list 121 permit udp 192.168.0.00.0.255.255 any range 33400 
34400 1og 

RB (config) #interface serial 2/0 

RB (config-if) #ip access-group 121 in 


8.4.5 DDoS 对 策 


1. TRINOO 


下 面 例子 演示 了 如 何 阻塞 TRIN00 DDoS 攻击 。 需 要 阻塞 的 端口 流量 如 下 。 
TCP 一 一 1524 (Ingress Lock) 

TCP 一 一 27665 (未 分 配 》 

UDP 一 一 31335 (未 分 配 ) 

UDP 一 一 27444 (未 分 配 ) 

RB (config) #access-list 190 deny tcp any any eq 1524 log 

RB (config) #access-list 190 deny tcp any any eq 27665 log 

RB (config) #access-list 190 deny udp any any eq 31335 log 

RB (config) #access-list 190 deny udp any any eq 27444 log 


2. Stacheldraht 


下 面 例子 演示 了 如 何 阻塞 Stacheldraht DDoS 攻击 。 需 要 阻塞 的 端口 流量 如 下 。 

TCP 一 一 16660 (未 分 配 ) 

TCP 一 一 65000 (未 分 配 ) 

RB (config) #access-list 190 deny tcp any any eq 16660 log 

RB (config) #access-list 190 deny tcp any any eq 65000 log 

Stacheldraht DDoS 用 ICMP Echo 请 求 和 Echo 响应 消息 建立 通信 ,并 且 控 制 和 监视 攻击 。 
通过 阻塞 TCP 端口 16660 和 65000 可 以 阻止 实际 的 攻击 ， 但 如 果 想 防止 攻击 者 在 系统 上 设 
置 后 门 ， 还 应 该 设法 阻塞 ICMP Echo 请 求 《TCP 端口 8) 和 ICMP Echo 响应 (TCP 端口 0)， 
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RB (config) #access-list 190 deny icmp any any echo 


RB (config) #access-list 190 deny icmp any any echo-reply 


阻塞 了 这 些 ICMP 端口 ， 会 影响 使 用 ping 命令 ， 这 可 能 是 不 希望 看 到 的 。 


3. Trinity V3 


下 面 例子 演示 了 如 何 阻塞 Trinity V3 DDoS 攻击 。 需 要 阻塞 的 端口 流量 如 下 。 
TCP 一 一 33270 (未 分 配 》 

TCP 一 一 39168 (未 分 配 ) 

RB (config) #access-list 190 deny tcp any any eq 33270 log 

RB (config) #access-list 190 deny tcp any any eq 39168 log 


4. Subseven 


下 面 例子 演示 了 如 何 阻塞 Subseven DDoS 攻击 。 需 要 阻塞 的 端口 流量 如 下 。 
TCP 一 一 范围 从 6711 一 6712 (未 分 配 ) 

TCP 一 一 6776 (未 分 配 ) 

TCP 一 一 6669 (IRCU) 

TCP——2222 (Rockwell CSP1) 

TCP——7000 (AFS2 Fileserver) 

RB (config) #access-list 190 deny tcp any any range 6711 6712 log 
RB (config) #access-list 190 deny tcp any any eq 6776 log 

RB (config) #access-list 190 deny tcp any any eq 6669 log 

RB (config) #access-list 190 deny tcp any any eq 2222 log 


RB (config) #access-list 190 deny tcp any any eq 7000 log 


85 访问 控制 列表 的 位 置 


将 IP 标准 访问 控制 列表 尽 可 能 放置 在 靠近 目的 地 址 的 位 置 ， 这 是 因为 我 们 并 不 真正 的 
要 在 自己 的 网 络 内 使 用 表 中 的 访问 控制 列表 。 不 能 将 标准 访问 控制 列表 放置 在 靠近 源 主机 或 
源 网 络 的 位 置 ， 因 为 这 样 会 过 滤 基 于 源 地 址 的 流量 ， 而 导致 不 能 转发 任何 流量 。 

将 扩展 访问 控制 列表 尽 可 能 放置 在 靠近 源 地 址 的 位 置 。 既 然 扩展 访问 控制 列表 可 以 过 
滤 每 个 特定 的 地 址 和 协议 ， 那么 我 们 就 不 希望 流量 穿 过 整个 网 络 后 再 被 拒绝 。 通 过 将 这 样 的 
列表 放置 在 尽量 靠近 源 地 址 的 位 置 ， 可 以 在 它 使 用 有 限 的 带宽 之 前 过 滤 掉 此 流量 。 
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. 路 由 器 的 访问 控制 列表 的 作用 是 

A. 访问 控制 列表 可 以 监控 交换 的 字 节 数 

B. 访问 控制 列表 提供 路 由 过 滤 功 能 

C. 访问 控制 列表 可 以 检测 网 络 病毒 

D. 访问 控制 列表 可 以 提高 网 络 的 利用 率 

. 以 下 的 访问 控制 列表 中 ， 禁止 所 有 Telnet 访问 子 网 10.10.1.0/24。 
A. access-list 15 deny telnet any 10.10.1.0 0.0.0.255 eq 23 

B. access-list 1 15 deny udp any 10.10.1.0 eq telnet 

C. access-list 115 deny tcp any 10.10.1.0 0.0.0.255 eq 23 

D. access-list 15 deny udp any 10.10.1.0 255.255.255.0 eq 23 

IP 地 址 和 反 转 掩 码 可 以 用 来 阻 断 来 自 192.168.16.43/28 网 段 的 流量 。 
A. 192.168.16.32 0.0.0.16 

B. 192.168.16.43 0.0.0.212 

C. 192.168.16.0 0.0.0.15 

D. 192.168.16.32 0.0.0.15 

E. 192.168.16.0 0.0.0.31 

F. 192.168.16.16 0.0.0.31 


-个 标准 访问 控制 列表 应 用 到 路 由 器 的 一 个 以 太 网 接口 ， 该 标准 访问 控制 列表 能 够 


A. 源 地 址 和 目标 地 址 
B. 目标 端口 

C. 目标 地 址 

D. 源 地 址 

E. 以 上 所 有 


. 河北 师 大 软件 学 院 某 个 子 网 使 用 29 位 的 子 网 掩 码 ， 在 配置 扩展 访问 控制 列表 时 如 何 


允许 或 拒绝 整个 子 网 ? 
A. 255.255.255.224 

B. 255.255.255.248 

C. 0.0.0.224 

D. 0.0.0.8 

E. 0.0.0.7 

F.0.0.0.3 


. 假若 你 是 石家庄 飞 烨 科技 公司 的 网 络 管理 员 ， 你 正 打算 使 用 访问 控制 列表 到 路 由 器 
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的 一 个 接口 ， 命令 可 以 达到 目的 。 


A. permit access-list 101 out 


B. ip access-group 101 out 
C.apply access-list 101 out 
D. access-class 101 out 


E. ip access-list e0 out 


. 石家庄 新 迈 科技 公司 网 络 拓扑 如 图 8-16 所 示 。 你 是 公司 的 系统 管理 员 , 在 TK1 路 由 


器 上 ， 你 定义 了 以 下 访问 控制 列表 。 
Access-list 101 deny tcp $5.1.1.10 0.0.0.0 5.1.3.0 0.0.0.255 eq telnet 
Access-list 101 permit ip any any 

TK3 


TK2 


Ethernet 0 


Ey 


加 5.1.3.8/24 5.1.3.10/24 


5.1.2.10/24 5.1.2.20/24 
5.1.1.8/24 5.1.1.10/24 


全 图 8-16 网 络 拓扑 
你 将 该 访问 控制 列表 绑 定 到 TK1 的 Ethernet 0 接口 ,ip access-group 101in,。 将 
会 被 访问 控制 列表 阻 断 。 
A. 从 主机 A 访问 主机 5.1.1.10 的 Telnet 会 话 
B. 从 主机 A 访问 主机 5.1.3.10 的 Telnet 会话 
C. 从 主机 B 访问 主机 5.1.2.10 的 Telnet 会 话 
D. 从 主机 B 访问 主机 5.1.3.8 的 Telnet 会 话 
E. 从 主机 C 访问 主机 5.1.3.10 的 Telnet 会 话 


. 在 路 由 器 的 串口 ， 一 个 入 站 的 访问 控制 列表 配置 拒绝 TCP 端口 21、 23 和 25， 所 有 


的 其 他 流量 允许 。 基 于 这 个 信息 ，_ ”类 型 的 流量 将 会 被 允许 通过 该 接口 。( 选 择 3 
个 7 

A.SMTP 

B.DNS 

C.FIP 

D. Telnet 

E. HTTP 

F. POP3 


9. 命令 可 以 将 一 个 访问 控制 列表 绑 定 到 路 由 器 的 VTY 接口 。 


10. 


A. RouterTK (config-line ) # access-class 10 in 

B. RouterTK (config-if) # ip access-class 23 out 

C. RouterTK (config-line) # access-list 150 in 

D. RouterTK (config-if) #ip access-list 128 out 

E. RouterTK (config-line) # access-group 15 out 

F. RouterTK (config-if) # ip access-group 110 in 
实施 访问 控制 列表 通常 的 指导 方针 是 i 

A. 应 该 放置 标准 访问 控制 列表 尽 可 能 靠近 源 网 络 
B. 应 该 放置 扩展 访问 控制 列表 尽 可 能 接近 源 网 络 
C. 应 该 放置 标准 访问 控制 列表 尽 可 能 接近 目标 网 络 
D. 应 该 放置 扩展 访问 控制 列表 尽 可 能 接近 目标 网 络 
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第 9 章 了 网络 地 址 转换 


本 章 将 介绍 网 络 地 址 转换 (Network Address Translation，NAT)、 动 态 网 络 地 址 转换 和 端 
口 地 址 转换 (Port Address Translation，PAT)，PAT 也 称 为 复 用 ; 将 会 介绍 NAT、PAT 和 端口 
映射 的 应 用 场景 以 及 配置 方法 。 

同时 也 演示 了 使 用 Windows XP 配置 连接 共享 实现 NAT 和 端口 映射 ,在 Windows Server 
2003 上 配置 NAT 和 端口 映射 。 

本 章 主要 内 容 : 

" ”应 用 NAT 的 场景 

”配置 静态 NAT 

= ”配置 动态 NAT 

”配置 PAT 

" 配置 端口 映射 

= 通过 Internet 连接 共享 配置 NAT 和 端口 映射 

sa 通过 配置 Windows Server NAT 实现 地 址 转换 和 端口 映射 


仙姑 
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医 宫 量 网 络 地 址 续 澳 技术 竹 介 
下 面 介 绍 NAT 的 应 用 场景 、NAT 的 优 缺 点 以 及 NAT 的 三 种 类 型 。 
9.1.1 NAT 的 应 用 场景 


NAT 的 最 初 目的 是 允许 将 私有 IP 地 址 映射 到 公 网 (合法 的 Internet IP 地址 ) 地 址 的 ， 
以 减缓 中 地址 空间 的 消耗 。 

当 一 个 组 织 更 换 它 的 互联 网 服务 提供 商 (Internet Service Provider，ISP)， 比 如 从 网 通 
更 改 为 电信 ， 如 果 不 想 更 改 内 网 配置 方案 时 ，NAT 同样 很 有 用 途 。 

以 下 是 符合 使 用 NAT 的 各 种 情况 。 

”需要 连接 Internet， 但 是 你 的 主机 没有 公 网 IP 地 址 。 

， ”更 换 了 一 个 新 的 ISP， 需 要 重新 组 织 网 络 。 

， ”需要 合并 两 个 具有 相同 网 络 地 址 的 内 网 。 

NAT 一 般 应 用 在 边界 路 由 器 中 ， 比 如 公司 连接 Internet 的 路 由 器 上 。NAT 的 优 缺 点 如 
表 9-1 所 示 。 


表 9-1 NAT 的 优点 和 缺点 


优 点 缺 点 
节约 合法 的 公 网 耳 地 址 地 址 转换 产生 交换 延迟 ， 也 就 是 消耗 路 由 器 性 能 


减少 地 址 重 登 出 现 
增加 连接 Intemet 的 灵活 性 
增加 内 网 的 安全 性 
NAT 最 显著 的 优点 是 节约 你 的 合法 公 网 IP 地 址 ， 正 是 因为 这 个 原因 我 们 到 现在 还 能 
使 用 IPv4， 否 则 早已 升级 到 IPv6 了 。 


无 法 进行 端 到 端的 他 跟踪 
某 些 应 用 无 法 在 NAT 的 网 络 中 运行 


9.1.2 NAT 的 类 型 


下 面 介 绍 NAT 的 三 种 类 型 : 静态 NAT、 动 态 NAT 和 PAT。 

" ”静态 NAT: 这 种 类 型 的 NAT 是 为 了 在 本 地 和 全 球 地 址 间 人 允许 一 对 一 映射 而 设计 的 。 
需要 记 住 的 是 ,静态 NAT 需要 网 络 中 的 每 台 主机 都 拥有 一 个 真实 的 因特网 IP 地 址 ， 
多 用 于 公 网 地 址 到 内 网 主机 的 端口 映射 。 

”动态 NAT: 这 种 类 型 的 NAT 可 以 实现 映射 一 个 未 注册 IP 地 址 到 注册 耻 地 址 池 中 
的 一 个 注册 也 地 址 。 你 不 必 像 使 用 静态 NAT 那样 ,在 路 由 器 上 静态 映射 内 部 到 外 
部 的 地 址 , 但 是 你 必须 保证 拥有 足够 的 真实 IP, 保证 每 个 在 因特网 中 收发 包 的 用 户 


网 络 地 址 转换 -一 一 一 
都 有 真实 的 卫 可 用 。 
PAT: 这 是 最 流行 的 NAT 配置 类 型 。 PAT 实际 上 是 动态 NAT 的 一 种 形式 ， 它 映射 
多 个 私 网 IP 地 址 到 一 个 公 网 IP 地 址 ， 通 过 使 用 不 同 的 端口 来 区 分 内 网 主机 ， 也 被 
称 为 复 用 。 通 过 使 用 PAT， 可 实现 上 千 个 用 户 仅 通过 一 个 真实 的 全 球 IP 地 址 连接 
到 Internet。 使 用 复 用 是 我 们 至 今 在 互联 网 上 没有 使 用 完 合法 IP 地 址 的 真实 原因 。 
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下 面 介绍 各 种 类 型 网 络 地 址 转换 的 实现 过 程 ， 以 及 配置 步骤 。 


9.2.1 配置 静态 NAT 


这 种 类 型 的 NAT 是 为 了 在 本 地 和 全 球 地 址 间 允 许 一 对 一 映射 而 设计 的 。 需 要 记 住 的 
是 ， 静 态 NAT 需要 网 络 中 的 每 台 主机 都 拥有 一 个 真实 的 因特网 IP 地 址 ， 多 用 于 公 网 地 址 
到 内 网 主机 的 端口 映射 。 

打开 随 书 光盘 中 第 9 章 练习 “01 配置 静态 NATpkt”， 网 络 拓扑 如 图 9-1 所 示 。 网 络 中 
的 计算 机 和 路 由 器 已 经 配置 好 了 IP 地 址 和 路 由 表 ， 企 业内 网 使 用 私有 IP 地 址 10.0.0.0/24， 
CPE 是 连接 Internet 和 内 网 的 边界 路 由 器 ， 你 需要 在 CPE 上 配置 静态 NAT， 使 内 网 的 计算 
机 能 够 访问 Internet，Internet 也 能 够 访问 内 网 的 计算 机 。 


202. 99. 160. 1/24 
202. 99. 160. 0/24 


131.107.0.0/24 131.107.0.254/24 


131. 107.0. V24 


人 Serial 0/0 
Po/ ,pixM serial o70 2 


Server-PT 


Server 
10.0.0.0124 202. 99. 160. 2/24 


Internet 


公 网 IP 地 址 


内 网 
私有 地 址 


202. 99, 160. 3/24 


全 图 9-1 静态 NAT 实验 环境 
在 路 由 器 CPE 上 配置 静态 NAT 映射 。 
= ”内 网 计算 机 PC0 的 私 网 地 址 10.0.0.2 使 用 公 网 地 址 131.107.0.2 地 址 。 
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" ”内 网 计算 机 PC1 的 私 网 地 址 10.0.0.3 使 用 公 网 地 址 131.107.0.3 地 址 。 

= ”内 网 计算 机 PC2 的 私 网 地 址 10.0.0.4 使 用 公 网 地 址 131.107.0.4 地 址 。 

" ”内 网 计算 机 PC3 的 私 网 地 址 10.0.0.5 使 用 公 网 地 址 131.107.0.5 地 址 。 

a ”内 网 计算 机 WebServer 的 私 网 地 址 10.0.0.6 使 用 公 网 地 址 131.107.0.6 地 址 。 
如 图 9-2 所 示 ， 是 配置 了 静态 映射 路 由 器 ， 数 据 包 传输 过 程 中 的 数据 包 转 换 。 


静态 映射 


10.0.0.2|131. 107.0.2 
10.0.0.3|131. 107.0.3 


源 地 址 被 苦 换 


> NAT [ET rz Toor 150.7 > 
-| bo 


202-99. 160- 才 数据] 


| 202. 99. 160. 2 160. 4 数据 
目标 地 址 被 普 换 Server2 返 回 的 救 据 包 


A 图 9-2 静态 NAT 映射 数据 包 转换 过 程 
配置 了 静态 映射 后 ，PC0 访问 Internet 的 Server， 数 据 包 经 过 CPE 路 由 器 ， 根 据 配置 
的 静态 映射 ， 数 据 包 的 源 地 址 被 131.107.0.2 地 址 替换 。 
Server 向 131.107.0.2 发 送 返回 的 数据 包 ， 在 进入 内 网 时 ， 根 据 配置 的 静态 映射 表 ， 将 
会 使 用 PC0 的 IP 地 址 替换 数据 包 的 目标 地 址 。 
配置 静态 映射 的 步骤 如 下 。 
(1) 验证 配置 静态 映射 前 内 网 的 计算 机 不 能 和 Intenret 上 的 计算 机 通信 。PC0O ping 
202.99.160.2 不 通 。 
(2) 在 CPE 上 配置 静态 NAT 映射 。 
CPE>en 


CPE#config 七 


CPE (config) #ip NAT inside source static 10.0.0.2 131.107.0.2 
CPE (config) #ip NAT inside source static 10.0.0.3 131.107.0.3 
CPE (config) #ip NAT inside source static 10.0.0.4 131.107.0.4 
CPE (config) #ip NAT inside source static 10.0.0.5 131.107.0.5 
CPE (config) #ip NAT inside source static 10.0.0.6 131.107.0.6 


CPE (config) #interface fastEthernet 0/1 

CPE (config-if) #ip NAT inside =-- 指 定 该 接口 为 NAT 的 内 网 接口 
CPE (config-if) #ex 

CPE (config) #int 

CPE (config) #interface Serial 0/0 


CPE (config-if) #ip NAT outside =- 指定 该 接口 为 NAT 的 外 网 接口 
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CPE (config-if) #ex 


CPE#debug ip NAT =- 让 路 由 器 显示 NAT 信息 
(3) 验证 配置 了 静态 映射 后 ， 内 网 计算 机 能 够 访问 Internet。PC0 ping 202.99.160.2 能 
够 通 。 
(4) 在 CPE 路 由 器 上 的 显示 如 下 。 
CPE# 


NAT: Ss=1.0\,0"0.2=>131.107.0.2, d=202.99.160.2 11] 

NRAT* : s=202.99.160.2, d=131.107.0.2->10.0.0.2 [1] 

(5) 配置 了 静态 映射 后 ，Internet 上 的 计算 机 通过 访问 131.107.0.6 能 够 访问 内 网 的 
WebServer 的 Web 站 点 ， 如 图 9-3 所 示 。 

ET 二 ol) 


physical | Config | Desktop 


| 


Cisco Packet Tracer 


‘ar. Opening doors to new opportunities. Mind Wide Open 


全 图 9-3 验证 静态 映射 


9.2.2 配置 动态 NAT 


这 种 类 型 的 NAT 可 以 实现 映射 一 个 未 注册 IP 地 址 到 注册 IP 地 址 池 中 的 一 个 注册 IP 
地 址 。 你 不 必 像 使 用 静态 NAT 那样 ,在 路 由 器 上 静态 映射 内 部 到 外 部 的 地 址 , 但 是 你 必须 
保证 拥有 足够 的 真实 IP， 保 证 每 个 在 因特网 中 收发 包 的 用 户 都 有 真实 的 IP 可 用 。 

打开 随 书 光盘 中 第 9 章 练 习 “02 动态 NATpkt”， 网 络 拓扑 如 图 9-4 所 示 。 网 络 中 的 计 
算 机 和 路 由 器 已 经 配置 好 了 IP 地 址 和 路 由 表 , 企业 内 网 使 用 私有 IP 地 址 10.0.0.0/24, CPE 
是 连接 Internet 和 内 网 的 边界 路 由 器 ， 你 需要 在 CPE 上 配置 动态 NAT， 使 内 网 的 计算 机 能 
够 访问 Internet。 注 意 ， 动 态 NAT，Internet 上 的 计算 机 不 能 访问 内 网 上 的 计算 机 。 
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131.107.0.254/24 Os 
131.107.0.0124 
9.160 .0 
131.107.0. V24 = 
Serial 0/0 2621XM 
2950-24 6 ISP Server-PT 
Inside Server 
10.0.0.0/24 202. 99. 160, 2/24 
Internet 
内 网 公 网 IP 地 址 


FES 
202. 99. 160. 3/24 


全 图 9-4 动态 NAT 实验 环境 
如 图 9-5 所 示 ， 本 实验 外 网 地 址 有 3 个 地 址 ， 内 网 有 5 台 计 算 机 ， 配 置 为 动态 映射 ， 
只 有 3 个 内 网 的 计算 机 能 够 做 地 址 转换 。 也 就 是 内 网 的 计算 机 同时 只 能 有 3 台 计 算 机 访问 
Internet。( 这 可 是 我 故意 这 样 设计 的 ) 


Se0/0 
PE 


FsD/1 
C 


和信 图 9-5 动态 NAT 映射 
配置 动态 NT 的 步骤 如 下 。 
(1) 在 CPE 上 配置 动态 NAT。 
CPE#config 七 
CPE (config) #access-list 10 permit 10.0.0.0 0.0.0.255 
定义 访问 控制 列表 ， 如 果 内 网 有 多 个 网 段 需要 NAT， 则 需要 在 ACL 中 都 添加 上 。 
CPE (config) #ip NAT pool todd 131.107.0.1 131.107.0.3 netmask 255.255.255.0 
todd 是 地 址 池 的 名 字 ， 可 以 任意 指定 。 指 定 公 网 地 址 池 的 开始 地 址 和 结束 地 址 ， 以 及 
子 网 掩 码 , 地 址 池 只 有 3 个 地 址 , 也 就 是 说 只 允许 内 网 的 3 个 计算 机 能 够 访问 Internet。 
CPE (config) #ip NAT inside source list 10 pool todd ”-- 地 址 池 和 访问 控制 列表 
进行 关联 
CPE (config) #interface Serial 0/0 
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CPE (config-if) #ip NAT outside =- 指定 NAT 的 外 网 接口 
CPE (config-if) #ex 
CPE (config) #interface fastEthernet 0/1 
CPE (config-if) #ip NAT inside =-- 指 定 NAT 的 内 网 接口 
(2) 在 CPE 上 查看 NAT 配置 的 状态 。 
CPE#show ip NAT statistics 
Total translations: 0 (0 static, 0 dynamic, 0 extended) 
Outside Interfaces: Serial0/0 
Inside Interfaces: fastEthernet0/1 
Hits: 13 Misses: 20 
Expired translations: 13 
Dynamic mappings: -动态 映射 
-- Inside Source 
access-list 10 pool todd refCount 0 
Pool todd: netmask 255.255.255.0 

start i310 end 13 T07053 

type generic, total addresses 3 , allocated 0 (0%) , misses 3 
(3) 使 用 PC0 访问 Server 的 Web 站 点 , 用 PC1、PC2 和 PC3 ping Server。 将 发 现 PC0 

能 够 访问 Server 的 Web 站 点 ，PC1 和 PC2 能 够 ping 通 Server, PC3 却 不 能 ping 

通 Server。 那 是 因为 地 址 池 仅 3 个 地 址 ， 只 允许 三 个 内 网 的 主机 访问 外 网 。 
(4) 查看 NAT 地 址 转换 信息 。 


CPE#show ip NAT translations 


Pro Inside global Inside local Outside local Outside global 
1cmp 131. 107.60.2'5 10.0.0.3;5 202699.160,.3:5 202.99.160.3:5 
Scanp 131.107.0.236 10.0.0.3:6 202:99.1605.3:6 202.99.160%356 


tcp 131.107.0.1:1025 10.0.0.2:1025 202.99.160.2:80 202.99.160.2:80 
teR LT3L:L07 .0 T01026. T10050231026 202.99.160.2:80 202.99.160.2:80 
tep 13L.107.00L1027 10.0a075251027 202.99.160.2:80 202.99.160.2:80 
(5) 清除 转换 表 中 的 NAT 条 目 。 

CPE#clear ip NAT translation * 

(6) PC3 ping Server， 能 通 。 


使 用 动态 NAT 技术 , 如 果 地 址 池 的 IP 地 址 做 映射 用 完了 , 剩余 的 内 网 的 计算 机 


将 不 能 再 访问 外 网 。 
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9.2.3 配置 PAT 


这 是 最 流行 的 NAT 配置 类 型 。PAT 实际 上 是 动态 NAT 的 一 种 形式 ， 它 映射 多 个 私 网 
IP 地 址 到 一 个 公 网 IP 地 址 ， 通 过 使 用 不 同 的 端口 来 区 分 内 网 主机 ， 也 被 称 为 复 用 。 通 过 
使 用 PAT， 可 实现 上 千 个 用 户 仅 通过 一 个 真实 的 全 球 IP 地 址 连接 到 Internet。 使 用 复 用 是 
我 们 至 今 在 互联 网 上 没有 使 用 完 合法 IP 地 址 的 真实 原因 。 

打开 随 书 光盘 中 第 9 章 练习 “03 PATpkt”， 网 络 拓扑 如 图 9-6 所 示 。 网 络 中 的 计算 机 
和 路 由 器 已 经 配置 好 了 IP 地 址 和 路 由 表 ， 企 业内 网 使 用 私有 IP 地 址 10.0.0.0/24，CPE 是 
连接 Internet 和 内 网 的 边界 路 由 器 ， 你 需要 在 CPE 上 配置 PAT， 使 内 网 的 计算 机 能 够 访问 
Internet。 注 意 ，PAT，Internet 上 的 计算 机 不 能 访问 内 网 计算 机 。 


13L107.0.254124 2 的 160. 1/24 
131. 107.0.0/24 202. 99. 160.0/24 
131. 107.0. V24 


Seria 0/0 
2621XM 
2950-24 rr TSP 
Inside 
10.0.0.0124 


Internet 
内 网 公 网 IP 地 址 
私有 地 址 


202.99.160.3/24 


全 图 9-6 ”PAT 实验 环境 


如 图 9-7 所 示 ，PC0 访问 Internet 上 的 Server 的 web 站 点 ， 源 端口 可 能 是 1723，PC1 
问 Internet 上 的 Server 的 Web 站 点 ， 源 端口 也 可 能 是 1723， 如 果 数 据 包 只 做 地 址 转换 ， 
返回 的 数据 包 目 标 地 址 都 是 131.107.0.1、 目 标 端口 都 是 1723， 路 由 器 就 没有 办 法 确定 这 个 
数据 包 应 该 发 送 给 PC0 还 是 PC1。 因 此 如 果 使 用 一 个 公 网 IP 地 址 让 很 多 内 网 计算 机 访问 
Internet， 必 须 由 路 由 器 对 访问 Internet 的 数据 包 进 行 统一 的 源 端口 替换 ， 如 图 9-7 所 示 ， 
使 用 不 同 的 源 端 口 进行 替换 ， 这 样 路 由 器 就 可 以 根据 返回 的 数据 包 目 标 端口 确定 数据 包 应 
该 转发 给 哪 一 个 内 网 的 计算 机 。 
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协议 | 内 网 地 址 和 端口 | 外 网 地 址 和 端口 |server 地 址 和 端口 
pC0 访 问 Server Li 10.0.0.2:1723 | 131.107.0.1:4000 202.99.160.2:80 
PC1 访 问 server| TcP 10.0.0.3:1723 | 131.107.0.1:4001 | 202.99.160.2:80 
pc2 访 问 server| TcP 10.0.0.4:1723 | 131.107.0.1:4002 | 202.99.160.2:80 
PC3 访 问 server | TCP 10.0.0.5:1723 131.107.0.1:4003 | 202.99.160.2:80 


10.0.0.2:1723 


| 


202.99.160.2:80 3 131.107.0.1:4000| 202.99.160.2:80 


Se0'0 


Fa0/1 
Ca 0.0.2: 1723| 202.99.160.2:80 | 202.99.160.2: | 202.99.160.2:80 | 131.107.0.1:4000| 202.99.160.2:80 


A 图 9-7 源 端口 蔡 换 


配置 PAT 的 步骤 如 下 。 
(1) 在 CPE 上 配置 PAT。 


CPE#config t 


CPE (config) #access-list 10 permit 10.0.0.0 0.0.0.255 
CPE (config) #ip NAT pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 


=-- 前 后 两 个 地 址 一 样 ， 因 为 就 一 个 公 网 地 址 


CPE (config) #ip NAT inside source list 10 pool todd overload 


--overload 参数 将 会 启用 PAT 


CPE (config) #interface Serial 0/0 
CPE (config-if) #ip NAT outside =-- 指 定 NAT 的 外 网 接口 


CPE (config-if) #ex 


CPE (config) #interface fastEthernet 0/1 
CPE (config-if) #ip NAT inside =-- 指 定 NAT 的 内 网 接口 


(2) 使 用 PC0、 


PC1、PC2、PC3 和 WebServer ping Internet 上 的 Server， 都 能 通 。 


9.2.4 配置 端口 映射 


端口 映射 是 应 用 
许 内 网 的 计算 机 使 用 


非常 广泛 的 技术 ， 很 多 单位 只 有 一 个 公 网 IP 地 址 ， 通 过 配置 PAT 允 
这 个 公 网 IP 地 址 访问 Internet， 同 时 还 可 以 配置 静态 的 端口 映射 ， 使 


得 Internet 上 的 用 户 访问 内 网 的 服务 器 。 如 下 面 的 实验 ， 内 网 有 两 个 Web 服务 器 ， 可 以 将 


公 网 地 址 131.107.0.1 


的 TCP 协议 80 端口 映射 到 内 网 的 WebServerl ,将 公 网 地 址 131.107.0.1 


的 TCP 协议 81 端口 映射 到 内 网 的 WebServer2。 通 过 将 公 网 地 址 的 TCP 的 25 端口 和 TCP 


的 110 端口 映射 到 


内 网 的 邮件 服务 ， 可 以 使 Internet 用 户 访问 内 网 的 邮件 服务 器 。 
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打开 随 书 光盘 中 第 9 章 练习 “04 端口 映射 .pkt”， 网 络 拓扑 如 图 9-8 所 示 。 网 络 中 的 路 
器 和 计算 机 已 经 配置 好 了 IP 地 址 ， 你 需要 在 CPE 路 由 器 上 配置 端口 映射 ， 使 Internet 
上 的 用 户 能 够 访问 内 网 的 MailServer、WebServerl 和 WebServer2 。 


202. 99. 160. 1/24 
202. 99. 160. 0/24 


Ta OO 


131.107.0.1124 


Serial O/0 


2621XM 


ao/1 
2950-24 JSP 


Inside 
10.0.0.0/24 


99, 160, 2/24 
Internet 


202. 99. 160. 3/24 


A 图 9-8 ”配置 静态 端口 映射 


配置 端口 映射 的 步骤 如 下 。 
(1) 在 CPE 上 配置 静态 端口 映射 。 
CPE>en 


CPE#config 七 

CPE (config) #ip NAT inside source static tcp 10.0.0.5 80 131.107.0.1 80 

CPE (config) #ip NAT inside source static tcp 10.0.0.6 80 131.107.0.1 81 

CPE (config) #ip NAT inside source static tcp 10.0.0.4 25 131.107.0.1 25 

CPE (config) #ip NAT inside source static tcp 10.0.0.4 110 131.107.0.1 110 

CPE (config) #interface fastEthernet 0/1 

CPE (config-if) #ip NAT inside 

CPE (config-if) #ex 

CPE (config) #interface Serial 0/0 

CPE (config-if) #ip NAT outside 

(2) 在 Internet 的 计算 机 PC5 上 测试 端口 映射 ， 注 意 访问 的 公 网 地 址 131.107.0.1 的 
不 同 端口 ， 如 图 9-9 和 图 9-10 所 示 。 
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可 pc 


EI) 


| Bhvseal | Confg | Oesktop 


Web Browser 


< > | URL http://131.107.0.1 


Web Browser 
< > | URL http:7A131 107.0 1:81 


Cisco Pack 


Welcome to Cisco Packet Tracer，0pening doors to 


Cisco Pack 


elcome to Cisco Packet Tracer. Dpening doors to 


| Quick Links: Quick Links: 
中 | WebServerl 访问 的 是 WebServer1 的 网 站 | | YebSserverz. WebServer2 的 网 站 
Copyrights Copyrights 
TInage page Jaage page 
Image Jaage 
| 
| |) 
全 图 9-9 访问 内 网 网 站 1 全 图 9-10 访问 内 网 网 站 2 


(3) 按照 图 9-11 所 示 ， 配 置 邮件 客户 端 ， 
务 器 都 是 131.107.0.1， 保 存 配置 。 


密码 为 password1!， 注 意 收发 电子 邮件 服 


(4) 如 图 9-12 所 示 ， 给 自己 发 一 封 电 子 邮 件 。 


[ 工 二 


[ess 


[onaea [Conta | cos 


To zhaneltest. net 


Subject: zhang to zhang 


| | 


test Mail 


| 
全 图 9-11 配置 邮件 客户 端 全 图 9-12 发 送 电 子 邮 件 
(5) 如 图 9-13 所 示 ， 单 击 Receive 按钮 ， 能 够 收 到 邮件 。 
以 上 实验 证 明 端口 映射 成 功 。 
[es I ee 


phymea | Conbg | Destiop 


全 图 9-13 ” 收 到 电子 邮件 
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3 在 Windows 上 实现 网 络 地 址 转换 和 端口 映射 


在 Windows 中 网 络 地 址 转换 就 是 前 面 介 绍 的 PAT 的 概念 ， 特 此 说 明 。 

Windows XP 或 Windows Server 2003 也 能 够 实现 PAT 和 端口 映射 ,并 且 这 种 应 用 在 规 
模 较 小 的 企业 中 会 经 常用 得 到 。 下 面 将 为 大 家 介绍 在 Windows XP 上 配置 Internet 连接 共享 
实现 的 PAT 和 端口 映射 以 及 Windows Server 2003 上 实现 的 网 络 地址 转换 和 端口 映射 。 


9.3.1 在 Windows XP 上 配置 连接 共享 和 端口 映射 


如 图 9-14 所 示 ， 一 个 小 的 公司 使 用 安装 Windows XP 操作 系统 的 ADSL 拨号 访问 
Internet。 该 主机 还 有 一 个 网 卡 连接 内 网 的 交换 机 ， 内 网 的 计算 机 需要 通过 Windows XP 访 
问 Internet。 这 就 需要 在 Windows XP 上 将 ADSL 拨号 的 连接 共享 给 内 网 计算 机 ， 同 时 你 也 
可 将 内 网 的 Web 服务 器 通过 端口 映射 允许 Internet 用 户 访问 。 


7 


ADSL 
202.99.13.12 


全 图 9-14 配置 连接 共享 
1. 在 Windows XP 上 配置 Internet 连接 共享 的 步骤 


(1) 选择 “开始 ”一 “设置 ”一 “网 络 连接 ”命令 ， 选 中 ADSL 拨号 建立 的 连接 ， 右 
击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

(2) 如 图 9-15 所 示 ， 在 出 现 的 “ADSL 属性 ”对 话 框 的 “高 级 ”选项 卡 中 选中 “多 
许 其 他 网 络 用 户 通 过 此 计算 机 的 Internet 连接 来 连接 ” 复 选 框 。 
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芝 国 如 果 你 的 计算 机 只 一 个 本 地 连接 ， 不 会 出 现 “Internet 连接 共享 ”选项 组 ， 你 可 


: 
事 ] 各 :: | 


A 
和 i i 


3 | 


a Ms hed Were | a 
ot 。 [要 和 
和 机 保 仿 计划 机 癌 [Em] 


Internet 连 拉 共 订 
PN TS 


TM Eataraat 人 


抽 寺 请 使 用 


i 


全 图 9-15 启用 连接 共享 全 图 9-16 没有 了 “Internet 和 连接 共享 ”选项 旨 
(3) 如 图 9-17 所 示 ， 单 击 “ 确 定 ”按钮 ， 会 出 现 提 示 对 话 框 ， 提 示 将 LAN 连接 的 IP 
地 址 配置 成 192.168.0.1。 单 击 “ 是 ” 完成 连接 共享 。 
你 再 把 连接 内 网 的 连接 IP 地 址 更 改 为 10.0.0.1。 注 意 ， 内 网 的 连接 不 设置 网 关 。 


ne 
图 9-17 提示 
(4) 如 图 9-18 所 示 ， 青 看 连接 共享 的 图 标 ， 已 经 有 了 使 用 共享 的 图 标 标 识 ， 相 当 于 
在 路 由 器 的 外 网 网 卡 上 运行 了 ip NAT outside 命令 。 


站 四 
过 | 已 连接 上 


A Vare Accelerat 


已 连 : 三 
相当 于 路 由 器 的 相当 于 路 由 器 的 
ip NAT outside ip NAT outside 
A 图 9-18 配置 了 连接 共享 的 网 卡 
在 Windows XP 上 配置 PAT 就 这 么 简单 。 


2. 配置 端口 映射 的 步骤 


(1) 如 图 9-19 所 示 ， 打 开 “ADSL 属性 ”对 话 框 ， 在 “高 级 ”选项 卡 中 ， 单 击 “ 设 
置 ” 按 钮 。 
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(2) 如 图 9-20 所 示 ， 在 出 现 的 
复 选 框 ， 单 击 
(3) 如 图 9-21 所 示 ， 在 出 现 的 “服务 设置 ”对 话 框 中 ， 输 入 内 网 Web 服务 器 的 IP 


全 图 9-19 
“高 


“编辑 ”按钮 。 


地 址 ， 单 击 “ 确 定 ” 按 钮 。 
服务 
Ec RiPmehngbEFTHOPI8o 


A 图 9-20 配置 Web 服务 器 端口 映射 


口 ostoggiee 协议 上 本 3 Gop3) 
口 ranve 服务 器 
(OD wpa cp 
OD weap amp 


口 安全 feb 服务 器 0TTES) 
口 远 和 面 


[加 


ER 


要 过 限 拓 防止 从 Taterret 访问 二 
和 所 扩 计 关机 各 后 


rtarnat 回扣 共 字 
加 下 全 用 广 通 J 生机 的 TGSL 这 要 
4 关上 0 


回 拉 4 贡 贡 后 用 广 控制 二 芋 用 共享 的 at rat 连 
Eb | En 
了 荐 Interset 这 这: 闪现 多吉 语 - 


| 


确定 取消 


Es 


EE 


CC 


“ADSL 属性 ”对 话 框 
级 设置 ”对 话 框 中 ， 选 中 “Web 服务 器 (HTTP)” 


服务 描述 @) 


网络 上 主持 此 服务 的 计算 机 的 名 称 或 IF 地 
W MN , 192. 168.0. 12) 


10.0.0.10 


此 服务 的 外 部 端口 号 到 ) 


此 服务 的 内 部 端口 寻 CI) 


全 图 9-21 指定 内 网 Web 服务 器 地 址 


端口 映射 完成 。 在 Windows XP 上 配置 端口 映射 也 很 简单 。 


9.3.2 在 Windows Server 2003 上 配置 网 络 地 址 转换 和 端口 映射 


在 Windows Server 2003 上 可 以 配置 Internet 连接 共享 实现 PAT 和 端口 映射 , 还 可 以 使 


用 路 由 和 远程 访问 配置 网 络 地 址 转换 和 端口 映射 实现 PAT 和 端口 映射 。 
1. 配置 网 络 地 址 转换 
(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”命令 。 
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网 络 地 址 苇 的 国生 汪汪 


(2) 如 图 9-22 所 示 ， 在 出 现 的 “路 由 和 远程 访问 ”窗口 中 ， 右 击 服务 器 ， 在 弹出 的 
快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访问 ”命令 。 


文件 四 ”操作 如 ”查看 如 帮助 0 
所 少 | 钻 | 困 |X 团 日 | 国 图 


茸 用 路 由 和 远程 沪 右 8) 
问 ， 在 “操作 ” RE 


和 
所 有 任务 的 站 用 路 由 和 远程 访问 ” 
坦 看 四 下 is 问 ， 部 时 太 案 ，b 及 
下 信 息 ， 请 参半 帮助 。 


出 除 0) 
刷新 中 


属性 @) 
帮助 0) 


全 图 9-22 配置 并 启用 路 由 和 远程 访问 
(3) 在 出 现 的 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 , 单 击 “ 下 一 步 ” 
(4) 如 图 9-23 所 示 ， 在 出 现 的 “配置 ”设置 界面 中 ， 选 中 “网 络 地 址 转换 (NAT)” 
单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 


路 由 和 远程 访问 服务 器 安装 向 导 


配置 3 
您 可 以 局 用 下 列 腿 务 的 任意 姐 合 ,或 者 悠 可 以 自 定义 此 服务 器 。 me 


个 远程 访问 里 号 或 VPID G) 
户 端 通过 所 号 或 安全 的 虚拟 专用 网 络 WPID Internet 连接 来 连接 到 


全 内 久 客户 这 借用 一 个 公共 TP 地 址 连接 到 | Internet。 
个 虚拟 专用 网 络 WP 访问 和 NAT YY) 
二 as， 本 地 客户 端 使 用 一 个 单一 的 
三 两 个 专用 网 络 之 间 的 安全 连接 GE) 
将 此 网 络 连 接 到 一 个 远程 网 络 ， 例 如 一 个 分 支 办 公 室 。 
个 自 定义 配置 C) 
选择 在 路 由 和 和 远程 访问 中 的 任何 可 用 功能 的 组 合 。 


有 关 这 些 选 项 的 更 多 信息 ， 请 参阅 路 由 和 运程 访问 帮助 。 


一 到 | 
A 图 9-23 “配置 ”设置 界面 


(5) 如 图 9-24 所 示 ， 在 出 现 的 “NAT Internet 连接 ”设置 界面 中 ， 选 中 “使 用 此 公共 
接口 连接 到 Intemet” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
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ETEEETETEEEEES 

JAT Internet 连接 Pe 

您 可 以 选择 一 个 现存 的 接口 ， 或 者 为 客户 英 计 算 机 创 尘 一 个 新 的 请 求 按 号 国葬 归 | 
接口 采 演 接 到 Internet。 


他 使 用 此 公共 接口 连接 到 Internet QD); 


描述 I? 地 址 
Intel (R) PED7100 0.0.1 


个 创建 一 个 新 的 到 Internet 的 请 求 氢 号 接口 @) 


品 向 个 动 。 
人 通过 设置 基本 防火 墙 来 在 对 选择 的 接口 进行 保护 下) 

基本 防火 寺 防 上 未 授权 的 用 户 通 过 Internet 访问 此 服务 器 。 
有 关 网 络 接口 的 更 多 信息 ， 请 参阅 路 由 和 远程 访问 帮助. 


《上 - 步 四 取消 


全 图 9-24 “NAT Internet 连接 ”设置 界面 
(6) 如 图 9-25 所 示 ， 在 出 现 的 “名 称 和 地 址 转换 服务 ”设置 界面 中 ， 保 持 默 认 选 项 ， 
单 击 “ 下 一 步 ” 按 钮 。 该 服务 器 可 以 为 内 网 计算 机 分 配 IP 地 址 和 提供 域名 解析 
服务 。 


路 由 和 运程 访问 最 务 器 安装 凋 导 


中 上 
\s 


名 称 和 地 址 转换 服务 
您 可 以 启用 名 称 和 地 址 服务 。 


上 各 直 最 务 Ws 和 DHCP)。 修 想 加 何 获 得 


5 隧 用 基 求 的 加 称 和 瑚 征服 劳 到 ] 
ED 并 格 名 称 解 析 请 求 转 发 到 Internet 上 的 


个 我 格 稍 后 设置 名 称 和 地 址 服务 [) 
站 Directory ,或 在 倭 的 网 络 上 有 


图 
全 图 9-25 “名 称 和 地 址 转换 服务 ”设置 界面 
(7) 如 图 9-26 所 示 ， 在 出 现 的 “地 址 指派 范围 ”设置 界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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地 址 指派 范围 
人 indows 为 您 的 网 络 定义 了 一 个 地 址 范围 . 


a 
网 络 地 址 : 10.0.0.0 
网 络 掩 码 255.255. 255.0 


扣 本 人 抽 和 二 aas 


ET “下 一 步 ”。 如 果 您 想 退 出 此 向 导 ， 定 义 新 的 惠 


《 上 一 步 @) | 下 二 落 吕 刘 取消 


全 图 9-26 “地 址 指派 范围 ”设置 界面 


9 


网络 地 址 转 抽 到 到 是 基 


(8) 如 图 9-27 所 示 ， 在 出 现 的 “正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 中 ， 


单 击 “ 完 成 ”按钮 。 
路 由 和 运程 访问 最 务 器 安 装 向导 
正在 完成 路 由 和 远程 访问 服务 器 安 装 向 导 


您 已 成 功 完成 路 由 和 运程 访问 服务 器 安装 向 导 。 


总 结 
为 下 列 Internet 接口 配置 了 NAT 和 一 个 基本 防火 国 


墙 : internet 


扩招 二 下 的 I 


网 络 地 址 : 10. 0. 0. 0; 网 络 掩 码 ; 255. 255. 255.0 


启用 服务 器 来 响应 Internet 请 求 ， 清 配置 端口 映 
铝 : 新 次 的 防火 墙 。 有 关 端 口 映 射 和 防火 墙 例外 的 
多 信息 ， 请 参阅 申 曙 和 渤 粒 访问 才 斯 。 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


《上 一 步 @) 取消 


全 图 9-27 完成 网 络 地 址 转换 配置 
2. 配置 端口 映射 


(1) 如 图 9-28 所 示 ， 右 击 Internet 连接 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 
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路 由 和 远程 访 记 =lojxl 
文件 四 操作 他) 查看。 帮助 o 
中 小 | 知 | 国 |X 狠 日 刀 | 包 国 


由 加 远程 访问 记录 


悍 示 映射 | | 
全 图 9-28 “路 由 和 远程 访问 ”对 话 框 


(2) 如 图 9-29 所 示 ， 在 出 现 的 “Internet 属性 ”对 话 框 的 “服务 和 端口 ”选项 卡 中 ， 


选中 “Web 服务 器 (HTTP)” 复 选 框 。 


(3) 如 图 9-30 所 示 ， 在 出 现 的 “编辑 服务 ”对 话 框 的 “专用 地 址 ”文本 框 中 输入 


“10.0.0.10”， 单 击 “确定 ”按钮 。 
EEC 2 本 可 


AT/ 革 李 防 火 墙 | 地址 江 服务 和 和 端口 |Icyp | 


溃 语 况 针 全 其 internet 用 户 访 问 的 服务 。 这 格 在 
服务 人 G): 
口 Tntornet 邮件 服务 器 SmTE) 习 


De Set om) 


考 用 地 址 到) 10.0.0.10 


传 出 篇 口 (0); EE 
Ce]_ ws | saw | Cue ] ws | 
全 图 9-29 选择 Web 服 务 器 全 图 9-30 指定 内 网 的 IP 地 址 


Er ** 


打开 随 书 光盘 中 第 9 章 练 习 “ 实 验 01 PAT.pkt”， 网 络 拓扑 如 图 9-31 所 示 。 你 需要 在 


CPE 路 


器 上 配置 PAT， 人 允许 内 网 的 两 个 网 段 访 问 Internet。 
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Internet 


1313107:0:25072% 202. 的 1001724 
131.107.0.1/24 RE 


一 


Serial 0/02621XM 
ISP 


-PK Serial 2/0 


Server-PT Server-PT 人 
Mailserver Webserverl os 
172. 16.0.0/24 202. 99. 160. 3/24 


全 图 9-31 配置 PAT 实验 环境 
操作 步骤 如 下 。 
在 CPE 上 的 配置 
CPE (config) #access-list 10 permit 10.0.0.0 0.0.0.255 
CPE (config) #access-list 10 permit 172.16.0.0 0.0.0.255 
CPE (config) #ip NAT pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 
CPE (config) #ip NAT inside source list 10 pool todd overload 
CPE (config) #interface Serial 2/0 
CPE (config-if) #ip NAT outside 
CPE (config-if) #exi 


CPE (config) #interface fastEthernet 0/0 


CPE (config-if) #ip NAT inside 


访问 控制 列表 要 包括 内 网 的 两 个 网 段 。 


1. Internet 上 路 由 器 不 进行 转发 的 网 络 地 址 是 。 
A.101.1.32.7 
B. 192.178.32.2 
| 
D. 172.35.32.244 
2. 北京 佳 城 公 司 有 一 个 25 台 计 算 机 组 建 的 局 域 网 ， 打 算 使 该 网 络 中 的 计算 机 能 够 同 
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时 访问 Intemet， 但 是 佳 城 公司 只 有 4 个 可 用 的 公 网 地 址 ， 如 何 配置 才能 使 这 25 
台 计 算 机 能 够 访问 Internet? 
A.Static NAT 
B. Global NAT 
C. Dynamic NAT 
D. Static NAT with ACLs 
E. Dynamic NAT with overload 

3. 石家庄 新 迈 科 技 公司 的 网 络 拓扑 如 图 9-32 所 示 ， 网 络 管理 员 打 算 使 用 网 络 地址 转 
换 技 术 使 内 网 能 够 访问 Intermmet， 内 网 计算 机 使 用 的 是 私 网 地 址 ， 应 该 在 上 
进行 NAT 配置 。 


ea、 Co t 
人 rporate 


Engineering Sales 


Internet 


县 号 号 且 电 
全 图 9-32 网 络 拓扑 
A. Corporate 路 由 器 
B. Engineering 路 由 器 
C. Sales 路 由 器 
D. 所 有 的 路 由 器 
E. 所 有 的 路 由 器 和 交换 机 
4. Cisco 路 由 器 已 经 使 用 以 下 命令 进行 了 配置 : 
ip NAT pool NAT-test 192.168.6.10 192.168.6.20 netmask 255.255.255.0 
A. 静态 NAT 
B. 动态 NAT 
C. 带 overload 的 动态 NAT 
D. 端口 地 址 转换 PAT 
和 是 NAT 的 缺点 。( 选 择 3 个 ) 
A. 导致 转发 延迟 
B. 节省 了 合法 的 公 网 地 址 
C. 破坏 了 端 到 端的 连接 性 


第 0 
网 络 地 址 转换 加 时 时 呈 是 吧 本 


D. 增加 了 接 入 Internet 的 灵活 性 
E. 在 使 用 网 络 地 址 转换 的 情况 下 某 些 应 用 程序 将 不 能 工作 
F. 减少 了 IP 地 址 重 县 
6. 命令 可 以 看 到 路 由 器 上 实时 的 地 址 转换 。 
A.Show ip NAT translation 
B. Show ip NAT statistics 
C. Debug ip NAT 
D. Cleare ip NAT translations 
7. 命令 将 会 清除 所 有 路 由 器 上 的 转换 活动 。 
A. Show ip NAT translations 
B. Show ip NAT statistics 
C. Debug ip NAT 
D. Clear ip NAT translations * 
8. 命令 将 会 显示 NAT 配置 的 汇总 信息 。 
A. Show ip NAT translations 
B. Show ip NAT statistics 
C. Debug ip NAT 
D. Clear ip NAT translations * 
9. 命令 将 会 创建 一 个 名 称 为 Todd 的 提供 30 个 公 网 地 址 的 动态 地 址 池 。 
A. Ip NAT pool Todd 171.16.10.65 172.16.10.94 net 255.255.255.240 
B. Ip NAT pool Todd 171.16.10.65 172.16.10.94 net 255.255.255.224 
C. Ip NAT pool todd 171.16.10.65 172.16.10.94 net 255.255.255.224 
D. Ip NAT pool Todd 171.16.10.65 172.16.10.94 net 255.255.255.0 
10. 地 址 转换 的 类 型 有 _。 
A. Static 
B. IP NAT pool 
C. Dynamic 
D. NAT double-translation 
E. Overload 
11. _ 是 使 用 网 络 地 址 转换 的 理由 。 
A. 需要 连接 Internet 但 是 没有 足够 的 公 网 地 址 
B. 改变 了 一 个 新 的 ISP， 需 要 重新 更 改 内 网 IP 地 址 
C. 不 想 任何 主机 连接 Internet 
D. 有 需要 合并 相同 网 段 的 内 网 


345 


346 


Pm miror 
关 
_ 
已 


. B， 地 址 池 名 称 区 分 大 小 写 
10. A、C\E 
ll. A、B、D 


第 10 章 IPv6 


本 章 将 介绍 IPv6 比 现在 的 IP 有 哪些 方面 的 改进 。 具 体 介绍 IPv6 的 地 址 体系 , IPv6 下 
的 计算 机 地 址 配置 方式 ，IPv6 的 静态 路 由 和 动态 路 由 ， 支 持 IPv6 的 动态 路 由 协议 RIPng、 
EIGRPv6 和 OSPF v3 的 配置 ，IPv6 和 IPv4 闪存 技术 ， 双 协议 栈 技术 ，6 to 4 的 隧道 技术 ， 
ISATAP 隧道 和 NATPT 技术 。 ; 
本 章 主要 内 容 : 
为 什么 需要 
IPv6 地 上 


英 基 


计算 机 网 络 


348 


需要 IPve 


从 20 世纪 70 年 代 开始 ， 互 联网 技术 就 以 超出 人 们 想象 的 速度 迅猛 发 展 。 然 而 ， 随 着 
基于 IPv4 协议 的 计算 机 网 络 特别 是 Internet 的 迅速 发 展 ， 互 联网 在 产生 了 巨大 的 经 济 效益 
和 社会 效益 的 同时 也 暴露 出 其 本 身 固 有 的 问题 ， 如 安全 性 不 高 、 路 由 表 过 度 膨胀 ， 特 别 是 
IPv4 地 址 的 匮乏 。 随 着 互联 网 的 进一步 发 展 特别 是 未 来 电子 、 电 器 设备 和 移动 通信 设备 对 
IP 地 址 的 巨大 需求 ，IPv4 的 约 42 亿 个 地 址 空间 是 根本 无 法 满足 要 求 的 。 有 预测 表明 以 目 
前 Internet 的 发 展 速度 计算 , 所 有 IPv4 地 址 将 在 2012 年 分 配 完 毕 。 这 也 是 推动 下 一 代 互 联 
网 协议 IPv6 研究 的 主要 动力 。 


10.1.1 1Pv4 的 不 足 之 处 


IPv4 的 不 足 主要 体现 在 以 下 几 个 方面 。 
1. 地 址 空间 的 不 足 


在 Internet 发 展 的 初期 ， 人 们 认为 网 络 地 址 是 不 可 能 分 配 完 的 ， 这 就 导致 网 络 地 址 分 
配 时 的 随意 性 ， 其 结果 就 是 IP 地 址 的 利用 率 较 低 。 由 于 组 织 的 存在 ，IP 地 址 不 是 一 个 接 
一 个 地 分 配 的， 而 且 由 于 缺乏 经 验 的 地 址 分 类 的 做 法 ， 造 成 了 大 量 的 地 址 浪费 。 

分 配 的 过 程 是 按时 间 顺 序 进 行 的 ， 刚 开始 的 时 候 一 个 学 校 可 以 拥有 一 个 A 类 网 络 ， 而 
后 来 一 个 国家 可 能 只 能 拥有 一 个 C 类 网 络 。A 类 网 络 的 数目 并 不 多 ， 因 此 问题 的 焦点 就 集 
中 在 B 类 和 C 类 网 络 地 址 上 ，A 类 的 网 络 太 大 , 而 C 类 的 网 络 太 小 ,因为 后 来 的 几乎 所 有 
的 申请 者 都 愿意 申请 一 个 B 类 网 络 , 一 个 B 类 网 络 可 以 拥有 65534 个 主机 地 址 ， 而 实际 上 
根本 用 不 了 这 么 多 的 地 址 ， 由 于 这 样 的 低 效率 的 分 配方 法 ， 导 致 B 类 地 址 消耗 得 特别 快 。 
也 就 导致 对 现 有 的 IP 地 址 的 分 配 速 率 很 快 ， 造 成 IP 地 址 即将 被 分 配 完 的 局 面 。 


2. 对 现 有 路 由 技术 的 支持 不 够 


于 历史 原因 , 今天 的 IP 地 址 空间 的 拓扑 结构 都 只 有 两 层 或 者 三 层 , 这 在 路 由 选择 上 
来 看 是 非常 糟糕 的 。 各 级 路 由 器 中 路 由 表 的 数目 过 度 增 长 ， 最 终 的 结果 是 使 路 由 器 不 堪 重 
负 ，Internet 的 路 由 选择 机 制 因此 而 崩溃 。 

当前 ，Internet 发 展 的 瓶颈 已 经 不 再 是 物理 线路 的 速率 ，ATM 技术 ， 百 兆 / 千 兆 以 太 网 
技术 的 出 现 使 得 物理 线路 的 表现 有 了 显著 的 改善 , 现在 路 由 器 的 处 理 速度 成 为 阻碍 Internet 
发 展 的 主要 因素 。 而 IPv4 天 生 设计 上 的 缺陷 更 大 大 加 重 了 路 由 器 的 负担 。 

首先 ，IPv4 的 分 组 报头 的 长 度 是 不 固定 的 ， 这 样 不 利于 在 路 由 器 中 直接 利用 硬件 来 实 
现 分 组 中 路 由 信息 的 提取 、 分 析 和 选择 。 

其 次 ， 目 前 的 路 由 选择 机 制 仍然 不 够 灵活 ， 对 每 个 分 组 都 进行 同样 过 程 的 路 由 选择 ， 
没有 充分 利用 分 组 间 的 相关 性 。 
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再 次 ,由 于 IPv4 设计 时 未 能 完全 遵循 端 到 端 通信 的 原则 ， 加 上 当时 物理 线路 的 误 码 率 
比较 高 ， 使 得 路 由 器 还 要 具备 以 下 两 个 功能 。 

" ”根据 线路 的 MTU 来 分 段 和 重组 过 大 的 IP 分 组 。 

， ” 逐 段 进行 数据 校 验 。 

这 同样 会 造成 路 由 器 处 理 速 度 降低 。 

3. 无 法 提供 多 样 的 QoS 


随 着 Internet 的 成 功 和 发 展 ， 商 家 已 经 将 更 多 的 关注 投向 了 Internet， 他 们 意识 到 其 中 
弄 含 着 巨大 的 商机 ， 今 天 乃至 将 来 ， 有 很 多 的 业务 应 用 都 希望 在 互联 网 上 进行 。 在 这 些 业 
务 中 包括 对 时 间 和 带宽 要 求 很 高 的 实时 多 媒体 业务 ， 如 语音 、 图 像 等 ， 包 括 对 安全 性 要 求 
很 高 的 电子 商务 业务 以 及 发 展 越 来 越 迅 猛 的 移动 IP 业务 等 。 这 些 业 务 对 网 络 QoS 的 要 求 
各 不 相同 。 但是，IPv4 在 设计 时 没有 引入 QoS 这 样 的 概念 ， 设 计 上 的 不 足 使 得 它 很 难 相应 
地 提供 丰富 的 、 灵 活 的 QoS 选项 。 

虽然 人 们 提出 了 一 系列 的 技术 ， 如 NAT、CIDR、VLSM、RSVP 等 来 缓解 这 些 问 题 ， 
但 这 些 方法 都 只 是 权宜 之 计 ， 解 决 不 了 因 地 址 不 多 及 地 址 结构 不 合理 而 导致 的 地 址 短缺 的 
根本 问题 。 最 终 IPv6 应 运 而 生 。 


10.1.2 IPv6 的 改进 


IPv6 相对 于 IPv4 来 说 有 以 下 方面 的 改进 。 

1. 扩展 的 地 址 空间 和 结构 化 的 路 由 层次 

IPv6 的 地 址 长 度 由 IPv4 的 32 位 扩展 到 128 位 ， 全 局 单 点 地 址 采用 支持 无 分 类 域 间 路 
由 的 地 址 聚 类 机 制 ， 可 以 支持 更 多 的 地 址 层次 和 更 多 的 结 点 数目 ， 并 且 使 得 自动 配置 地 址 
更 加 简单 。 

2. 简化 了 报头 格式 

IPv4 报头 中 的 一 些 字段 被 取消 或 是 变 成 可 选项 。 尽 管 IPv6 的 地 址 长 度 是 IPv4 的 4 
倍 ， 但 是 IPv6 的 基本 报头 只 是 IPv4 报头 长 度 的 两 倍 。 取 消 了 对 报头 中 可 选项 长 度 的 严 
格 限制 ， 增 加 了 灵活 性 。 

3. 简单 的 管理 : 即 插 即 用 


IPv6 通过 实现 一 系列 的 自动 发 现 和 自动 配置 功能 ， 简 化 网 络 结 点 的 管理 和 维护 。 已 实 
现 的 典型 技术 包括 最 大 传输 单元 发 现 (MTU Discovery)、 邻 接 结 点 发 现 (Neighbor 
Discovery)、 路 由 器 通告 (Router Advertisement)、 路 由 器 请 求 (Router Solicitation)、 结 点 
自动 配置 (Auto-configuration ) 等 。 
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4. 安全 性 

在 制定 IPv6 技术 规范 的 同时 ， 产 生 了 IPSec (IP Security)， 用 于 提供 IP 层 的 安全 性 。 
目前 ,IPv6 实现 了 认证 头 (Authentication Header, AH) 和 封装 安全 载荷 (Encapsulated Security 
Payload，ESP) 两 种 机 制 。 前 者 实现 数据 的 完整 性 及 对 IP 包 来 源 的 认证 ， 保 证 分 组 确实 来 
自 源 地 址 所 标记 的 结 点 ; 后 者 提供 数据 加 密 功能 ， 实 现 端 到 端的 加 密 。 

5. QoS 能 力 

报头 中 的 “标签 ”字段 允许 鉴别 属于 同一 数据 流 的 所 有 报 文 ， 因 此 路 径 上 所 有 路 由 器 
可 以 鉴别 一 个 流 的 所 有 报 文 ， 实 现 非 默 认 的 服务 质量 或 实时 的 服务 等 特殊 处 理 。 

6. 改进 的 多 点 寻 址 方案 

通过 在 组 播 地 址 中 增加 “范围 ”字段 ， 允 许 将 组 播 的 路 由 限定 在 正确 的 范围 之 内 。 另 
一 个 “标志 ”字段 允许 Intranet 区 分 永久 性 的 多 点 地 址 和 临时 性 的 多 点 地 址 。 

7. 定义 了 一 种 新 的 群 通信 地 址 方式 : Anycast 

在 点 到 多 点 的 通信 中 ,将 报 文 传递 到 一 组 结 点 中 的 一 个 (通常 是 最 近 的 一 个 )， 从 而 允 
许 在 源 点 路 由 中 允许 结 点 控制 传递 路 径 。 

8. 可 移动 性 


IPv6 协议 设计 的 若干 技术 有 利于 移动 计算 的 实现 ， 包 括 信 宿 选项 头 〈destiNATion 
options header)、 路 由 选项 头 〈routing header)、 自 动 配置 、 安 全 机 制 以 及 Anycast 技术 。 将 
QoS 技术 同 移动 结 点 相 结合 还 将 强化 IPv6 对 移动 计算 的 支持 。 


10.1.3 1Pv6 协议 栈 


图 10-1 所 示 是 IPv4 和 IPv6 协议 栈 的 比较 。 


IPv4 协 议 栈 IPv6 协 议 栈 
应 用 层 
传输 层 
[or rom] mse 
Ethernet Frane Relay 网 络 接口 层 E2135 和 二 [Yi Frane Relay 


全 图 10-1 IPv6 协议 栈 和 IPv4 协议 栈 的 比较 
可 以 看 到 ，IPv6 协议 栈 与 IPv4 协议 栈 相 比 较 在 网 络 层 变化 最 大 ，IPv6 的 网 络 层 没 有 
ARP 协议 和 IGMP 协议 ，ICMP 协议 功能 做 了 很 大 的 扩展 。ICMP 在 IPv6 定义 中 重新 修 
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订 。 此 外 ，IPv4 组 成 员 协 议 (IGMP) 的 多 点 传送 控制 功能 和 ARP 协议 的 功能 也 嵌入 
到 ICMPv6 中 ,分 别 是 邻居 发 现 (ND) 协议 和 多 播 侦 听 器 发 现 (MLD) 协议 。 
IPv6 网 络 层 的 核心 协议 包括 以 下 几 种 。 
" “IPv6: 取代 IPv4， 它 是 一 个 可 路 由 协议 ， 为 数据 包 进 行 寻 址 、 路 由 、 分 段 和 重组 。 
”Internet 控制 消息 协议 IPv6 版 〈ICMPv6) : 取代 ICMP， 它 报告 错误 和 其 他 信息 
以 帮助 您 诊断 不 成 功 的 数据 包 传送 。 
= 邻居 发 现 (ND) 协议 : ND 取代 ARP， 它 管理 相 邻 IPv6 结 点 间 的 交互 ， 包 括 自动 
配置 地 址 和 将 下 一 跃 点 IPv6 地 址 解析 为 MAC 地 址 。 
" ”多 播 侦 听 器 发 现 (MLD) 协议 : MLD 取代 IGMP， 它 管理 IPv6 多 播 组 成 员 身份 。 


党 


10.1.4 ICMPv6 协议 的 功能 


IPv6 使 用 的 是 ICMP for IPv4 的 更 新 版 本 。 这 一 新 版 本 叫做 ICMPv6， 它 执行 常见 的 
ICMP for IPv4 功能 , 报告 传送 或 转发 中 的 错误 并 为 疑难 解答 提供 简单 的 回 显 服务 .ICMPv6 
协议 还 为 ND 和 MLD 消息 提供 消息 结构 。 

1. 邻居 发 现 CND) 


ND 是 一 组 ICMPv6 消息 和 过 程 , 用 于 确定 相 邻 结 点 间 的 关系 。ND 取代 了 IPv4 中 使 
用 的 ARP、ICMP 路 由 器 发 现 和 ICMP 重 定向 ， 提 供 了 更 丰富 的 功能 。 
主机 可 以 使 用 ND 完成 以 下 任务 。 
”发 现 相 邻 的 路 由 器 。 
”发 现 并 自动 配置 地 址 和 其 他 配置 参数 。 
路 由 器 可 以 使 用 ND 完成 以 下 任务 。 
= ”公布 它们 的 存在 、 主 机 地 址 和 其 他 配置 参数 。 
" ”向 主机 提示 更 好 的 下 一 跃 点 地 址 来 帮助 数据 包 转 发 到 特定 目标 。 
结 点 (包括 主机 和 路 由 器 ) 可 以 使 用 ND 完成 以 下 任务 。 
" ”解析 IPv6 数据 包 将 被 转发 到 的 一 个 相 邻 结 点 的 链 路 层 地 址 (又 称 MAC 地 址 ) 。 
= ”动态 公布 MAC 地 址 的 更 改 。 
" “确定 某 个 相 邻 结 点 是 否 仍 然 可 以 到 达 。 
表 10-1 列 出 了 RFC 2461 中 描述 的 ND 过 程 并 作 了 说 明 。 
表 10-1 ND 过 程 


ND 过 程 说 明 
路 由 器 发 现 主机 通过 该 过 程 来 发 现 它 的 相 邻 路 由 器 
前 级 发 现 主机 通过 该 过 程 来 发 现 本 地 子 网 目标 的 网 络 前 绥 
地 址 自动 配置 无 论 是 否 存在 地 址 配置 服务 器 (例如 运行 动态 主机 配置 协议 PPv6 版 CDHCPv6) 


的 服务 器 ) ， 该 过 程 都 可 以 为 接口 配置 Pv6 地 址 


英 产 


计算 机 网 络 


结 点 通过 该 过 程 将 邻居 的 IPv6 地 址 解析 为 它 的 MAC 地 址 。IPv6 中 的 地 址 解 
析 相 当 于 IPv4 中 的 ARP 


结 点 根据 目标 地 址 通过 该 过 程 来 确定 数据 包 要 转发 到 的 下 一 跃 点 IPv6 地 址 。 下 
一 跃 点 地 址 可 能 是 目标 地 址 ， 也 可 能 是 某 个 相 邻 路 由 器 的 地 址 


邻居 不 可 访问 性 检测 结 点 通过 该 过 程 确定 邻居 的 IPv6 层 是 否 能 够 发 送 或 接收 数据 包 
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重复 地 址 检测 | 结 点 通过 该 过 程 确定 它 打算 使 用 的 某 个 地 址 是 否 已 被 相 邻 结 点 占用 
重 定 向 功能 该 过 程 提示 主机 更 好 的 第 一 跃 点 IPv6 地 址 来 帮助 数据 包 向 目标 传送 


2. 地 址 解析 


IPv6 地 址 解析 包括 交换 “邻居 请 求 ” 和 “邻居 公布 ”消息 ， 从 而 将 下 一 跃 点 IPv6 地 
址 解析 为 其 对 应 的 MAC 地 址 。 发 送 主机 在 适当 的 接口 上 发 送 一 条 多 播 “邻居 请 求 ” 消息 。 
“邻居 请 求 ” 消 息 包括 发 送 结 点 的 MAC 地 址 。 

当 目标 结 点 接收 到 “邻居 请 求 ” 消 息 后 ， 将 使 用 “邻居 请 求 ”消息 中 包含 的 源 地 址 和 
MAC 地 址 的 条 目 更 新 其 邻居 缓存 (相当 于 ARP 缓存 )。 接 着 ， 目 标 结 点 向 “邻居 请 求 ” 
消息 的 发 送 方 发 送 一 条 包含 它 的 MAC 地 址 的 单 播 “ 邻 居 公布 ”消息 。 

接收 到 来 自 目 标的 “邻居 公布 ”后 ， 发 送 主机 根据 其 中 包含 的 MAC 地 址 使 用 目标 结 
点 条 目 来 更 新 它 的 邻居 缓存 。 此 时 ， 发送 主机 和 “邻居 请 求 ”的 目标 就 可 以 发 送 单 播 IPv6 
通信 量 了 。 

3. 路 由 器 发 现 


主机 通过 路 由 器 发 现 过 程 尝 试 发 现 本 地 子 网 上 的 路 由 器 集合 。 除 了 配置 默认 路 由 器 之 
外 ，IPv6 路 由 器 发 现 还 配置 以 下 设置 。 

= JIPv6 报头 中 的 “ 跃 点 限制 ”字段 的 默认 设置 。 

" ”用 于 确定 结 点 是 否 应 当 为 地 址 和 其 他 配置 参数 使 用 地 址 配置 协议 (例如, 动态 主机 
配置 协议 IPv6 版 CDHCPv6) ) 的 设置 。 

= ”为 链 路 定义 网 络 前 级 列表 。 每 个 网 络 前 级 都 包含 IPv6 网 络 前 级 及 其 有 效 的 和 首选 
的 生存 时 间 。 如 果 指 示 了 网 络 前 级 ， 主 机 便 使 用 该 网 络 前 级 来 创建 IPv6 地 址 配置 
而 不 使 用 地 址 配置 协议 。 网 络 前 级 还 定义 了 本 地 链 路 上 的 结 点 的 地 址 范围 。 

IPv6 路 由 器 发 现 过 程 如 下 。 

" JIPv6 路 由 器 定期 在 子 网 上 发 送 多 播 “路 由 器 公布 ”消息 ， 以 公布 它们 的 路 由 器 身 
份 信息 和 其 他 配置 参数 例如 地 址 前 组 和 默认 跃 点 限制 )。 

" ”本 地 子 网 上 的 IPv6 主机 接收 “路 由 器 公布 ”消息 ， 并 使 用 其 内 容 来 配置 地 址 、 默 
认 路 由 器 和 其 他 配置 参数 。 

" ”一 个 正在 启动 的 主机 发 送 多 播 “ 路 由 器 请 求 ” 消 息 。 收 到 “路 由 器 请 求 ”消息 后 ， 
本 地 子 网 上 的 所 有 路 由 器 都 向 发 送 路 由 器 请 求 的 主机 发 送 一 条 单 播 “ 路 由 器 公布 ” 
消息 。 该 主机 接收 “路 由 器 公布 ”消息 并 使 用 其 内 容 来 配置 地 址 、 默 认 路 由 器 和 其 
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他 配置 参数 。 
4. 地 址 自动 配置 


IPv6 的 一 个 非常 有 用 的 特点 是 ， 它 无 需 使 用 地 址 配置 协议 〈 例 如 , 动态 主机 配置 协议 
IPv6 版 (CDHCPv6)) 就 能 够 自动 进行 自我 配置 。 默 认 情况 下 ，IPv6 主机 能 够 为 每 个 接口 
配置 一 个 在 子 网 上 使 用 的 地 址 。 通 过 使 用 路 由 器 发 现 ， 主 机 还 可 以 确定 路 由 器 的 地 址 、 其 
他 地 址 和 其 他 配置 参数 。“ 路 由 器 公布 ”消息 指示 是 否 使 用 地 址 配置 协议 。 


5. 多 播 侦 听 器 发 现 〈MLD) 


MLD 是 IGMP 版 本 2 〈 用 于 IPv4) 的 IPv6 版 本 。MLD 是 路 由 器 和 节点 交换 的 一 组 
ICMPv6 消息 ， 供 路 由 器 用 来 为 各 个 连接 的 接口 发 现 有 侦 听 结 点 的 IPv6 多 播 地 址 的 集合 。 
同 IGMPv2 一 样 ，MLD 只 能 发 现 那些 至 少 包含 一 个 侦 听 器 的 多 播 地 址 ， 而 不 能 发 现 各 个 
多 播 地 址 的 单个 多 播 侦 听 器 的 列表 。RFC 2710 中 对 MLD 进行 了 定义 。 

与 IGMPv2 不 同 ，MLD 使 用 ICMPv6 消息 而 不 是 定义 它 自己 的 消息 结构 。 

MLD 消息 有 三 种 类 型 。 

a ”多 播 侦 听 器 查询 : 路 由 器 使 用 “多 播 侦 听 器 查询 ”消息 来 查询 子 网 上 是 否 有 多 播 侦 

听 器 。 

= ”多 播 侦 听 器 报告 : 多 播 侦 听 器 使 用 “多 播 侦 听 器 报告 ”消息 来 报告 它们 有 兴趣 接 

收发 往 特定 多 播 地 址 的 多 播 通信 量 , 或 者 使 用 这 类 消息 来 响应 “多 播 侦 听 器 查询 ” 

" ”多 播 侦 听 器 完成 : 多 播 侦 听 器 使 用 “多 播 侦 听 器 完成 ”消息 来 报告 它们 可 能 是 子 网 

上 最 后 的 多 播 组 成 员 。 


6. 路 径 MTU 发 现 (PMTU) 


它 能 够 防止 IPv6 进行 任何 分 段 ， 其 工作 原理 : 连接 中 的 源 结 点 将 发 送 一 个 数据 包 ， 它 
等 于 其 本 地 链 路 MTU 的 MTU 大 小 ， 当 这 个 数据 包 穿越 路 径 送 往 其 目的 地 时 ， 任 何 MTU 
比 当前 数据 包 MTU 值 小 的 链 路 ， 将 迫使 中 间 路 由 器 向 源 结 点 发 回 一 个 “数据 包 太 大 ”的 
消息 。 这 个 消息 告诉 源 结 点 ， 那 条 链 路 的 最 大 MTU 值 是 多 少 ， 这 样 就 允许 并 要 求 源 结 点 
发 送 一 个 新 的 、 调 整 过 的 数据 包 ， 以 便 它 通过 网 络 。 这 个 过 程 将 持续 下 去 ， 直 到 最 终 到 达 
目的 地 。 现 在 ， 源 结 点 就 知道 新 路 径 的 MTU 值 了 。 当 传送 其 他 的 数据 包 时 ， 它 们 将 受到 
保护 ， 不 会 被 分 段 。 


| 10.2 IPv6 寻 址 


下 面 讲解 IPv6 的 IP 地 址 的 体系 结构 、 地 址 类 型 和 一 些 特殊 的 IPv6 地 址 ， 并 且 讲 授 在 
Windows XP 上 安装 IPv6 协议 和 配置 IPv6 地 址 的 方法 。 
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10.2.1 IPv6 寻 址 及 表达 式 


我 们 已 经 知道 ，IPv6 的 主要 改变 就 是 地 址 的 长 度 : 128 位 。IPv6 地 址 一 共有 2128 个 ， 
340.282.366.920.463.374.607.431.768.211.456 这 个 地 址 数 足够 地 球 上 每 人 拥有 上 千 个 IP 地 址 。 

IPv6 使 用 冒号 将 其 分 割 成 8 个 16 比特 的 数组 ， 每 个 数组 表示 成 4 位 十 六 进 制 数 。 一 
般 有 以 下 四 种 文本 表示 形式 。 

1. 首选 的 格式 


把 128 比特 划分 成 8 段 ， 每 段 为 16 比特 ， 用 十 六 进 制 表示 ， 并 使 用 冒号 等 间距 分 隔 。 
例如 : F00D:4598:7304:3210:FEDC:BA98:7654:3210。 


2. 压缩 格式 


在 某 些 IPv6 的 地 址 形式 中 , 很 可 能 地 址 包含 了 长 串 的 “0”。 为 书写 方便 , 可 以 允许 “0” 
压缩 ， 即 一 连 串 的 0 可 用 一 对 冒号 来 取代 。 例 如 以 下 地 址 ; 

1080:0:0:0:8:8000:200C:417A 

可 以 表示 为 : 

1080::8:8000:200C:417A 

但 要 注意 , 为 了 避免 出 现 地址 表示 的 不 清晰 , 一 对 冒号 (::) 在 一 个 地 址 中 只 能 出 现 一 次 。 


3. 内 内 IPv4 的 1Pv6 地 址 


当 涉 及 IPv4 和 IPv6 的 混合 环境 时 ， 有 时 使 用 地 址 表示 形式 x:x:x:x:x:x:d.d.d.d， 这 里 6 
个 “x” 分 别 代表 地 址 中 的 用 十 六 进 制 表示 的 一 位 数 ，4 个 “d” 分 别 代表 地 址 中 的 8 比特 ， 
用 十 进 制 表 示 。 例 如 : 

0:0:0:0:0;0;218.129.100.10 

或 者 以 压缩 形式 表示 : 


::218.129.100.10 
4.“ 地 址 /前 缀 长 度 ” 表 示 法 


表示 形式 是 : IPv6 地 址 /前 组 长 度 ， 其中“ 前缀 长 度 ” 是 一 个 十 进 制 数 ,表示 该 地 址 的 
前 多 少 位 是 地 址 前 组。 例如 : F00D:4598:7304:3210:FEDC:BA98:7654:3210， 其 地 址 前 级 是 
64 位 ， 就 可 以 表示 为 : F00D:4598:7304:3210:FEDC:BA98:7654:3210/64。 

当 使 用 Web 浏览 器 向 一 台 IPv6 设备 发 起 HTTP 连接 时 ,必须 将 IPv6 地 址 输入 浏览 器 ， 
而 且 要 用 方 括号 将 IPv6 地 址 括 起 来 。 为 什么 呢 ?” 这 是 因为 浏览 器 在 指定 端口 号 时 , 已 经 使 
用 了 一 个 冒号 。 因 此 ， 如 果 你 不 用 方 括号 将 IPv6 地 址 括 起 来 ， 浏 览 器 将 无 法 识别 出 信息 。 

下 面 是 这 种 情况 的 一 个 例子 : 

http://[2001:0db8:3c4d:0012:0000:0000:1234:56ab] /default.html 

显然 ， 如 果 可 以 的 话 ， 你 肯定 愿意 使 用 网 站 的 域名 来 访问 Web 站 点 ， 比 如 http://www. 
edu2actorg， 在 IPv6 的 网 络 中 DNS 变 得 尤为 重要 。 
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10.2.2 IPv6 的 地 址 类 型 


IPv6 地 址 是 独立 接口 的 标识 符 ,所 有 的 IPv6 地 址 都 被 分 配 到 接口 ,而 非 结 点 .RFE 2373 
中 定义 了 三 种 IPv6 地 址 类 型 : 单 播 地 址 (Unicast)、 多 播 地 址 (Multicast) 和 任 播 地 址 
(Anycast)。 


1. 单 播 地 址 (Unicast) 


单 播 地 址 是 点 对 点 通信 时 使 用 的 地 址 。 此 地 址 仅 标 识 一 个 接口 ， 网 络 负责 把 对 单 播 地 
址 发 送 的 数据 包 送 到 该 接口 上 。 
单 播 地 址 有 全 球 单 播 地 址 (Global Unicast Address)、 未 指定 地 址 (Unspecified Address)、 
环 回 地 址 (Loopback Address) 等 几 种 形式 。 
一 般 的， 全 球 单 播 地 址 的 格式 如 图 10-2 所 示 。 
多 人 ‘0db8: S640 0014:0000 :0000: 1234:56ah 


全 球 路 由 前 组 ”了 网 。 ”接口 ID 


人 A 图 10-2 单 播 地 址 结构 

IPv6 全 局 单 播 地 址 的 分 配方 式 如 下 : 顶级 地 址 聚集 机 构 TLA〔( 即 大 的 ISP 或 地 址 管理 
机 构 ) 获得 大 块 地 址 ， 负 责 给 次 级 地 址 聚集 机 构 NLA〔 中 小 规模 ISP) 分 配 地 址 ，NLA 给 
站 点 级 地 址 聚集 机 构 SLA〈 子 网 ) 和 网 络 用 户 分 配 地 址 。 

全 球 路 由 前 级 (global routing prefix): 典型 的 分 层 结构 ， 根 据 ISP 来 组 织 ， 用 来 分 配 
给 站 点 〈Site)， 站 点 是 子 网 / 链 路 的 集合 。 

" 子 网 ID (SubnetID ) : 站 点 内 子 网 的 标识 符 。 由 站 点 的 管理 员 分 层 地 构建 。 

" 接口 ID (InterfaceID) : 用 来 标识 链 路 上 的 接口 。 在 同一 子 网 内 是 唯一 的 。 

2. 多 播 地 址 

多 播 地 址 标识 一 组 接口 (一 般 属于 不 同 结 点 )。 当 数据 包 的 目的 地 址 是 多 播 地 址 时 ， 网 
络 尽量 将 其 发 送 到 该 组 的 所 有 接口 上 。 信 源 利 用 多 播 功 能 只 需 生成 一 次 报 文 即 可 将 其 分 发 
给 多 个 接收 者 。 多 播 地 址 以 11111111 即 人 开头 。 

3. 任 播 地址 

任 播 地 址 标识 一 组 接口 ， 它 与 多 播 地 址 的 区 别 在 于 发 送 数据 包 的 方法 。 向 任 播 地 址 发 
送 的 数据 包 并 未 被 分 发 给 组 内 的 所 有 成 员 ， 而 是 发 往 该 地 址 标识 的 “最 近 的 ”那个 接口 。 

任 播 地 址 从 单 播 地 址 空间 中 分 配 ， 使 用 单 播 地 址 的 任何 格式 。 因 而 ， 从 语法 上 ， 任 播 
地 址 与 单 播 地 址 没有 区 别 。 当 一 个 单 播 地 址 被 分 配给 多 于 一 个 的 接口 时 ， 就 将 其 转化 为 任 
播 地 址 。 被 分 配 具有 任 播 地 址 的 结 点 必须 得 到 明确 的 配置 ， 从 而 知道 它 是 一 个 任 播 地 址 。 
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4. 链 路 本 地 地 址 


IPv6 中 有 种 地 址 类 型 叫做 链 路 本 地 (link local) 地 址 ， 该 地 址 用 于 在 同一 网 中 的 IPv6 
计算 机 之 间 进 行 通信 。 自 动 配置 ， 邻 居 发 现 , 没有 路 由 器 的 链 路 上 的 结 点 都 使 用 这 类 地 址 。 
任意 需要 将 包 发 往 单一 链 路 上 的 设备 和 不 希望 包 发 往 链 路 范围 外 的 协议 都 可 以 使 用 链 路 本 
地 地 址 。 当 你 配置 一 个 单 播 IPv6 地 址 的 时 候 ， 接 口上 会 自动 配置 一 个 链 路 本 地 地 址 。 链 路 
本 地 地 址 和 可 路 由 的 IPv6 地 址 共存 。 


10.2.3 1Pv6 中 特殊 的 地 址 


在 IPv6 中 是 否 会 有 特殊 的 、 保 留 的 地 址 ， 因 为 在 IPv4 中 就 有 这 样 的 地 址 。 是 的 ， 在 
IPv6 中 也 有 很 多 这 样 的 地 址 。 

下 面 将 列 出 一 些 地 址 和 地 址 范围 ， 大 家 一 定 要 记 住 它们 ， 因 为 肯定 能 用 到 。 它 们 都 很 
特殊 ， 或 者 是 为 特定 使 用 目的 而 保留 的 ， 但 与 IPv4 不 同 的 是 ，IPv6 的 地 址 空间 特别 巨大 ， 
因此 ， 保 留 一 些 地 址 确实 无 关 紧 要 。 

a ”0:0:0:0:0:0:0:0: 等 于 ::。 这 是 IPv4 中 0.0.0.0 的 等 价 物 ， 当 正在 使 用 有 状态 的 地 址 配 

置 时 ， 典 型 情况 下 是 主机 的 源 地 址 。 

= ”0:0:0:0:0:0:0:1: 等 于 ::1。 这 是 IPv4 中 127.0.0.1 的 等 价 物 。 

= 0:0:0:0:0:0:192.168.100.1: 这 是 在 IPv6/IPv4 混合 网 络 环境 中 IPv4 地 址 的 表示 式 。 

”2000::/3: 全 球 单 播 地 址 范围 。 写 成 二 进 制 0010 0000 0000 0000::3， 只 要 前 三 位 是 

001 就 是 全 球 单 播 地 址 ， 写 成 十 六 进 制 即 2xxx::/64 和 3xxx::/64 打头 的 都 是 全 球 单 
播 地 址 。 

" ”FE80::/10: 链 路 本 地 单 播 地 址 范围 。 

" ”FF00::/8: 组 播 地 址 范围 。 

。 ”3FFF:FFFF::/32: 为 示例 和 文档 保留 的 地 址 。 

" ”2001:0DB8::/32: 也 是 为 示例 和 文档 保留 的 地 址 。 

" ”2002::/16: 用 于 IPv6 到 IPv4 的 转换 系统 ， 这 种 结构 允许 IPv6 包 通 过 IPv4 网 络 进 

行 传输 ， 而 无 需 显 式 地 配置 隧道 。 


10.2.4 IPv6 计算 机 地 址 配置 方法 


IPv6 协议 的 一 个 突出 特点 是 支持 网 络 结 点 地 址 自动 配置 ， 极 大 地 简化 了 网 络 管理 者 的 
工作 。 下 面 将 演示 一 台 设 备 自动 地 为 它 自己 配置 地 址 的 能 力 ， 这 就 是 “无 状态 自动 配置 ”; 
另 一 种 自动 配置 类 型 ， 称 为 “有 状态 自动 配置 >。 一 定 要 牢记 ， 有 状态 自动 配置 与 IPv4 中 
使 用 的 DHCP 服务 器 配置 十 分 相像 。 
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1. 无 状态 自动 配置 


自动 配置 是 一 种 令 人 难以 置信 的 、 有 用 的 解决 方案 ， 因 为 它 允 许 网 络 中 的 设备 用 链 路 
本 地 单 播 地 址 自动 进行 地 址 配置 。 这 个 过 程 在 开始 时 从 路 由 器 那里 学 习 前 级 信息 ， 然 后 将 
设备 自己 的 接口 地 址 作为 接口 ID 附加 上 去 。 但 它 从 哪里 获得 接口 ID 呢 ? 大 家 知道 ， 以 太 
网 中 的 每 台 设 备 都 有 一 个 物理 MAC 地 址 , 这 个 MAC 地 址 就 用 来 作为 接口 ID。 可 是 IPv6 
地 址 中 的 接口 ID 是 64 位 的 ， 而 MAC 地 址 仅 为 48 位 ， 因 此 ， 需 要 另外 再 加 上 16 位 。 这 
16 位 从 哪里 来 呢 ? 是 在 MAC 地 址 的 中 间 填 充 FFFE。 

例如 ， 我 们 假定 某 台 设备 的 MAC 地 址 如 下 : 

0060.9673.1987 

在 填充 之 后 ， 就 变 为 0260.d6FF.FE73.1987。 

那么 ， 地 址 开头 的 2 是 从 哪里 来 的 呢 ? 大 家 要 知道 ， 如 果 地 址 是 本 地 唯一 的 或 全 球 唯 
一 的 ， 那 么 填充 过 程 的 部 分 〈 称 为 改进 的 eui-64 格式 ) 会 将 一 位 改 为 特定 的 数字 ， 被 改动 
的 这 一 位 是 二 进 制 MAC 地 址 中 的 第 7 位 。 这 一 位 的 值 为 1， 意 味 着 是 全 球 唯一 的 ， 这 一 
位 的 值 为 0， 意 味 着 是 本 地 唯一 的 。 看 看 例子 ， 你 能 说 出 这 个 地 址 是 全 球 唯一 的 还 是 本 地 
唯一 的 么 ? 对 了 ， 是 全 球 唯一 的 。 如 果 是 0060.d6FF.FE73.1987， 这 意味 着 是 本 地 唯一 的 。 

示例 :安装 IPv6 并 查看 本 地 链 路 地 址 

Windows Server 2003、Windows 7、Windows Server 2008 默认 已 经 启用 了 IPv6。 默 认 
Windows XP 没有 启用 IPv6 协议 ， 你 需要 安装 IPv6。 


(1) 如 图 10-3 所 示 , 打开 “本 地 连接 属性 ”对 话 框 , 在 “常规 ”选项 卡 中 ， 单 击 “ 安 


连接 时 使 用 | 
By Viware Accelerated ANMD FCNet 上 


此 连接 使 用 下 列 项 目 @) 


回 局 Qos 数据 包 计划 程序 
回访 Wetwork Monitor Driver 
回 六 Internet 协议 (TCP/IP) 


< 


Cv Cv 属性 @) 
说 明 
人 允许 伐 的 计算 机 访问 上 ereseft 网 络 上 的 资源 。 


连接 后 在 通知 区 域 显示 图 标 @g) 
此 连接 被 限制 或 无 连接 时 通知 我 中) 


确定 
全 图 10-3 “本 地 连接 属性 ”对 话 框 


(2) 如 图 10-4 所 示 ， 在 出 现 的 “选择 网 络 组 件 类 型 ”对 话 框 中 ， 选 中 “协议 ”选项 ， 
单 击 “ 添 加 ”按钮 。 
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选择 网 络 组 件 类 型 


| 
全 图 10-4 “选择 网 络 组 件 类 型 ”对 话 框 


(3) 如 图 10-5 所 示 , 在 出 现 的 “选择 网 络 协 议 ” 对 话 框 中 , 选择 “Microsoft TCP/IP 版 


本 6” 选 项 ， 单 击 “ 确 定 ” 按 钮 。 
选择 网 络 协议 


入 计 起 说 。 纹 怕 尘 击 “确定 ”。 扣 果 作 有 这 个 姐 
， 请 单 击 “ 从 型 盘 安 间 


WWLink IFX/SPX/NetBIOS Conpatible Transport Protocol 


mw] 
全 图 10-5 选择 IPv6 
(4) 如 图 10-6 所 示 ， 添 加 了 IPv6 协议 绑 定 到 本 地 连接 。 
十 本 地 连接 属性 


常规 “| 高 级 
连接 时 使 用 


Viware Accelerated AND PCNet 4 


此 本 接 全 用 下 列 硕 Ba @ 


团 汪 肌 crosoft TCP/IP 版 本 6 
MI Hetwork Monitor Driver 
回 Internet 协议 (ICP/IP) 


< 
安装 名 [A 尾 性 @) ”] 


说 明 
区 许 您 的 计算 机 访问 上 ierosoft 网 络 上 的 资源 。 


连接 后 在 通知 区 域 显示 图 标 电 ) 
回 此 连接 被 限制 或 无 连接 时 通知 我 如 


全 图 10-6 添加 了 IPv6 协议 
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(5) 如 图 10-7 所 示 , 在 命令 提示 符 下 , 输入 ipconfig 能 够 看 到 IPv6 的 本 地 链 路 地 址 。 


C:\Docunents and Settings\hdministrator>ipconfig /all 


Windows IP Configuration 


Host Nane - - - - - : han-aB8e336Bc71 
Primary Dns Suffix 
Node Type - - - - - : Unknown 


IP Routing Enabled. : No 
WINS Proxy Enabled. : No 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix 


Description - - - - : UMware Accelerated AMD PCNet hdapter 
Physical fddress. . : 89-9C-29-C5-1F-7?7 MAC 地 址 
Dhcp Enabled. - - . :No 
IP fddress. . - - - : 19.0.1.122 
Subnet Mask . . - . : 255.255.255.0 
IP Address. . . . . : fe80::28c:29ff:fec5:1f77x5 本 地 链 路 地 址 
Default Gateway . . : 19.9.1.1 
DNS Servers . . - . : 292 -8 
fec EF 
fec@ 


人 A 图 10-7 IPv6 的 本 地 链 路 地 址 


(6) 配 置 Dynamips 路 由 器 , 启用 IPv6 转发 , 和 计算 机 连接 的 网 络 接口 fastEthernet 1/0 
的 IPv6 地 址 为 2001:3::1/64。 


RA (config) #ipv6 unicast-routing -- 在 路 由 器 上 启用 IPv6 转发 
RA (config) #interface fastEhernet 1/0 
RA (config-if) #ipv6 address 2001:3::1/64 -- 指 定 IPv6 地 址 


你 也 可 以 使 用 以 下 方式 配置 IPv6 地 址 。 

RA (config-if ) #ipv6 address 2001:3::/64 eui-64 

可 以 指定 整个 128 位 的 全 球 IPv6 地 址 ， 或 者 使 用 eui-64 选项 。 记 住 ，eui-64 
格式 允许 设备 使 用 其 MAC 地 址 并 对 它 进 行 填充 ， 以 得 到 接口 ID。 


记 住 ， 如 果 仅 有 链 路 本 地 地 址 ， 将 只 能 与 本 地 子 网 上 的 主机 通信 。 
要 将 路 由 器 配置 为 仅 使 用 链 路 本 地 地 址 ， 可 使 用 IPv6 enable 接口 配置 命令 : 
RA (config-if ) #ipv6 enable 


(7) 如 图 10-8 所 示 ， 查 看 无 状态 配置 自动 配置 的 IPv6 地 址 和 本 地 链 路 地 址 。 本 地 链 
路 地 址 用 于 本 网 段 通信 。 
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C:\Documents and Settings\hdministrator>ipconfig /all 


Windows IP Configuration 


Host Nane - - - - - - - - : han-aB8e336Bc?1 
Primary Dns Suffix - - - : 

Node Type - - - - - - - - : Unknovwn 

IP Routing Enabled. - - - : No 

WINS Proxy Enabled. - - - : No 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 
Description . - - - - - - : UMware hccelerated AMD PCNet hdapter 


Physical hddress 
Dhcp Enabled. - . . - 


: 99-BC-29-C5-1F-77 
: No 
EE : 18.8.1.122 


8he:8bbb:b832:fdf9 
28c:29ff:fec5:1f77 无 状态 地 址 配置 
8c:298fsfec5:1877x5 本 地 链 路 地 址 


fe89: :ceg9:5ff:fec8:9x5 网 关 是 路 由 器 的 本 地 链 路 地 址 
全 图 10-8 无 状态 地 址 配置 的 IPv6 地 址 


2. 有 状态 自动 配置 


大 家 可 能 会 感到 吃惊 ， 但 确实 有 一 些 其 他 的 选项 是 DHCP 仍然 提供 而 自动 配置 却 不 能 
提供 的 。 无 状态 自动 配置 中 ， 绝 对 没有 提 到 DNS 服务 器 、 域 名 服务 ， 或 者 其 他 许多 选项 ， 
这 些 都 是 DHCP 在 IPv4 自动 配置 中 一 直 提供 的 。 这 就 是 为 什么 在 大 多 数 情况 下 ， 我 们 可 
能 仍然 要 在 IPv6 中 使 用 DHCP 的 原因 。 

IPv4 中 ， 在 引导 期 间 ， 客 户 端 发 送 一 个 DHCP 发 现 消息 ， 以 查找 服务 器 ， 得 到 它 所 需 
要 的 信息 。 但 要 记 住 ， 在 IPv6 中 ， 首 先 发 生 RS 和 RA 过 程 。 如 果 网 络 中 有 一 台 DHCPv6 
服务 器 ， 返 回 到 客户 端的 RA 将 告诉 它 DHCP 服务 器 是 否 可 用 。 如 果 没 有 找到 路 由 器 ， 客 
户 端 将 发 送 DHCP 征求 消息 。 征 求 消息 实际 上 就 是 组 播 消息 ， 源 地 址 为 ff02::1:2， 意 味 着 
所 有 的 DHCP 代理 ， 包 括 服务 器 和 中 继 器 都 响应 该 征求 信息 。 

Windows Server 2008 的 DHCP 服务 器 支持 IPv6。 


3. 指定 静态 IPv6 地 址 


对 于 服务 器 来 说 , 为 了 客户 端 访问 方便 ,最 好 指定 固定 的 IPv6 地 址 ， 以 便 客户 端 能 够 
较 容易 地 找到 。Windows XP 和 Windows Server 2003 没有 提供 图 形 界面 配置 IPv6 的 地 址 、 
网 关 以 及 DNS 等 。 以 下 命令 是 在 Windows XP 上 运行 的 ， 可 以 指定 本 地 连接 的 IPv6 地 址 、 
网 关 和 DNS 服务 器 。 

C:\Documents and Settings\Administrator>netsh interface ipv6 add address 
"本 地 连接 ”2001:3::2 

C:\Documents and Settings\Administrator>netsh interface ipv6 add route ::/0 
"本 地 连接 " 2001:3::1 

C:\Documents and Settings\Administrator>netsh interface ipv6 add dns "本 
地 连接 " 

2001;:3::100 


查看 IPv6 的 配置 ， 如 图 10-9 所 示 。 


C: \Docunents and Settings\Adninistrator>ipconfig /all 
Windows IP Configuration 
Host Nane - - . . - - - -. - - - - : han-aB8e3369c?1 
Primary Dns Suffix s 
Node Type - - - - - - - - - : Unknown 


IP Routing Enabled- - a We 
WINS Proxy Enabled. - :No 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 


Description . - - - - - - - - - - : UMware Accelerated AMD PCNet fdapter 


Physical hddress : 99-9C-29-C5-1P-?? 
: No 

IP hddress- - - - - - - - - - - - : 10.0.1.122 
Subnet Mask - 255-B 

IP nddress- - 


Default Gateway - - - 


DNS Servers - - - - 。 。 。。 。 。 - : 282.99.168.8 
29681:3::1998 


全 图 10-9 指定 的 静态 IPv6 地 址 


将 以 上 命令 中 的 add 换 成 delete， 就 可 以 删除 IPv6 地 址 、DNS 和 网 关 。 


指定 的 静态 IPv6 地 址 


Qc:29ff :fecs:1f77x5 
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如 图 10-10 所 示 ，Windows Server 2008、Windows 7 和 Vista 操作 系统 中 的 IPv6 可 以 这 


样 指定 IPv6 的 配置 。 
6 (TCP/IPvG) ] 
常规 
id IPw6 设置 * 否则 ， 鳄 需要 向 由 络 管理 员 咨 


自动 获取 IPv 地 址 中) 
加 使 用 以 下 IPw6 地 址 G) 
TPve 地 址 四 EEC 
子 癌 前 绰 长 度 醒 
用 mA 关中 ETE] 
自动 外 
用 加 使 用 下 而 8Y DIS 服务 器 地 址 GE) 
首选 DIS 服务 器 所 ‘2001:3: :100 
备用 DIS 服务 器 (4) 


退出 时 欠 证 设置 QL) 高 级 中 


站 = = ma 


全 图 10-10 指定 静态 IPv6 地 址 


10.3 | 配置 IPv6 路 由 


在 网 络 规模 不 大 的 情况 下 ，IPv6 环境 也 可 以 使 用 静态 路 由 。 配 置 IPv6 的 静态 路 由 和 


配置 IPv4 的 静态 路 由 一 样 。 路 由 器 要 知道 到 达 所 有 网 络 的 路 由 。 
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为 了 在 IPv6 网 络 中 使 用 ， 前 面 讨论 过 的 大 多 数 路 由 协议 已 经 升级 了 。 我 们 讨论 过 的 
许多 功能 和 配置 ， 将 以 几乎 一 样 的 方式 在 这 里 继续 得 到 应 用 。 大 家 知道 ， 在 IPv6 中 取消 
了 广播 地 址 ， 因 此 ， 完 全 使 用 广播 流量 的 任何 协议 都 不 会 再 用 了 ， 这 是 一 件 好 事情 ， 因 为 
它们 消耗 了 大 量 的 带宽 。 

在 IPv6 中 仍然 使 用 的 路 由 协议 都 有 了 新 的 名 字 ， 并 做 了 翻新 。 

首先 是 RIPng (下 一 代 RIP)。 如 果 你 已 经 在 IT 行业 工作 了 一 段 时 间 ， 就 会 知道 RIP 
在 小 型 网 络 中 工作 得 很 好 。 正 是 因为 这 一 点 ,使 得 RIP 一 直 沿 用 了 下 来 ， 还 将 应 用 在 IPv6 
网 络 中 。 我 们 还 会 使 用 EIGRPv6， 因 为 它 已 经 有 了 与 协议 有 关 的 模块 , 我 们 所 要 做 的 只 是 
向 其 中 添加 IPv6 协议 即 可 。 剩 下 的 路 由 协议 就 是 OSPFv3 了 ， 它 是 真正 的 第 3 版 ， 因 为 
IPv4 网 络 中 的 OSPF 实际 上 是 第 2 版 ， 因 此， 当 它 升级 到 IPv6 时 ， 就 变 成 了 第 3 版 。 

以 下 将 会 演示 配置 IPv6 的 静态 路 由 , 配置 支持 IPv6 的 动态 路 由 协议 RIPng、EIGRPv6 
和 OSPFv3。 


10.3.1 配置 IPv6 静态 路 由 


打开 随 书 光盘 中 第 10 章 练习 “01 IPv6 静态 路 由 .pkt”， 网 络 拓扑 如 图 10-11 所 示 。 网 
络 中 包括 3 个 IPv6 网 段 。 网 络 中 的 路 由 器 和 计算 机 已 经 按照 图 示 配置 好 了 IPv6 地 址 。 你 
需要 在 RA 和 RB 路 由 器 上 添加 静态 路 由 ， 使 这 3 个 网 段 的 计算 机 能 使 用 IPv6 通信 。 


2001:2::0/64 


2001:1::0/64 


A 图 10-11 IPv6 静态 路 由 实验 环境 
配置 IPv6 静态 路 由 的 步骤 如 下 。 
(1) 在 RA 上 查看 IPv6 的 路 由 ， 没 有 到 达 2001:3::0/64 网 段 的 路 由 。 
RA#show ipv6 route 
C 2001:1::/64 [0/0] 


via ::, fastEthernet0/0 
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玉 2001:1:s1/128" [0/0] 

via ::， fastEthernet0/0 
C 2001:2:5/64 [0/0] 

via ::， fastEthernet0/1 
L2001:2571/128 1070] 

via ::, fastEthernet0/1 
L FF00::/8 [0/0] 

Via ss NalLo 
(2) 在 RA 上 添加 到 达 2001:3::0/64 网 段 的 静态 路 由 。 
RA#config 七 
RA (config) #ipv6 route 2001:3::/64 2001:2::2 
(3) 在 RB 上 添加 到 2001:1::0/64 网 段 的 静态 路 由 。 
RB#config 七 
RB (config) #ipv6 route 2001:1::/64 2001:2::1 
(4) 在 RA 上 查看 路 由 表 ， 显 示 添 加 的 静态 路 由 。 
(5) 使 用 PC0 ping DHCP 计算 机 的 IPv6 地 址 ， 能 通 。 
PC>ping 2001:3::2 


10.3.2 配置 RiPng 支持 IPv6 


RIPng 的 主要 特性 与 RIPv2 是 一 样 的 。 它 仍然 是 距离 矢量 协议 ， 最 大 跳 数 为 5， 使 用 
水 平分 割 、 毒 性 逆转 和 其 他 的 环 路 避免 机 制 ， 但 它 现在 使 用 UDP 端口 521。 

RIPng 仍然 使 用 组 播 来 发 送 其 更 新 信息 ， 但 在 IPv6 中 ， 它 使 用 FF02::9 为 传输 地 址 。 
在 RIPv2 中 ， 该 组 播 地 址 是 224.0.0.9， 因 此 , 在 新 的 IPv6 组 播 范围 中 ， 地 址 的 最 后 仍然 有 
一 个 9。 事实 上 ， 大 多 数 路 由 协议 都 像 这 样 ， 保 留 了 一 部 分 IPv4 的 特征 。 

当然 ， 新 版 本 肯定 与 旧版 本 有 不 同 之 处 ， 否 则 它 就 不 是 新 版 本 了 。 我 们 知道 ， 路 由 器 
在 其 路 由 表 中 ， 为 每 个 目的 网 络 保留 了 其 邻居 路 由 器 的 下 一 跳 地 址 。 对 于 RIPng， 其 不 同 
之 处 在 于 ， 路 由 器 使 用 链 路 本 地 地 址 而 不 是 全 球 地 址 来 跟踪 下 一 跳 地 址 。 

在 RIPng 中 ， 最 大 的 改变 是 ， 需 要 从 接口 配置 模式 配置 或 启用 网 络 中 的 通告 ， 而 不 是 
在 路 由 器 配置 模式 下 使 用 network 命令 来 通告 (所 有 的 IPv6 路 由 协议 都 如 此 )。 因 此 ， 在 
RIPng 中 ， 在 接口 上 直接 启用 它 而 不 是 进入 路 由 器 配置 模式 并 启动 RIPng 进程 ， 那 么 将 启 
动 一 个 新 的 RIPng 进程 ， 它 看 起 来 是 这 样 的 : 

输入 以 下 命令 ， 在 路 由 器 上 启用 RIPng。 

Router1l (config) #ipv6 router rip 1 

在 这 条 命令 中 , 1 是 一 种 标记 , 用 来 识别 正在 运行 的 RIPng 进程 , 可 以 是 数字 和 字符 串 。 


Router1l (config-if) #ipv6 rip 1 enable 
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这 将 使 该 接口 参与 RIP 进程 1 的 活动 ,不 必 进 入 路 由 器 全 局 配置 使 用 network 进行 配置 。 
因此 要 记 住 ，RIPng 的 应 用 与 在 IPv4 网 络 中 基本 一 样 。 最 大 的 不 同 是 ， 它 使 用 网 络 本 


3 


而 不 是 使 用 大 家 习惯 了 的 网 络 命令 ， 来 启用 接口 到 所 连接 的 网 络 的 路 由 功能 。 


示例 : 在 IPv6 网 络 中 配置 RIPng 

打开 随 书 光盘 中 第 10 章 练 习 “02 ”IPv6 动态 路 由 协议 RIPng.pkt”, 网 络 拓 扑 如 图 10-12 
所 示 。 网 络 中 有 3 个 IPv6 网 段 ， 计 算 机 和 路 由 器 已 经 按照 图 示 配置 好 了 IPv6 地 址 ， 你 需 
要 在 IPv6 环境 中 配置 动态 路 由 协议 RIPng。 


2001:2::0/64 


信 图 10-12 IPV6 动态 路 由 协议 RIPng 实验 环境 


配置 RIPng 的 步骤 如 下 。 

(1) 在 RA 上 配置 RIPng。 

RA (config) #ipv6 unicast-routing  -- 在 路 由 器 上 启用 IPv6 

RA (config) #ipv6 router rip ds -- 启 用 RIPng， 后 面 的 ds 是 RIPng 进程 名 称 ， 
可 以 是 数字 和 字符 


吕 吕 器 吕 器 吕 


(config-rtr) #exit 

(config) #interface fastEthernet 0/0 

(config-if) #ipv6 rip ds enable -- 在 该 接口 启用 RIPng， 相 当 于 network 的 作用 
(config-if) #exit 

(config) #interface fastEthernet 0/1 

(config-if) #ipv6 rip ds enable 


(2) 在 RB 上 配置 RIPng。 


RB (config) #ipv6 unicast-routing ”-- 在 路 由 器 上 启用 IPv6 

RB (config) #ipv6 router rip ds -- 启 用 RIPng， 后 面 的 ds 是 名 称 

RB (config-rtr) #exit 

RB (config) #interface fastEthernet 0/0 

RB (config-if) #ipv6 rip ds enable -- 在 该 接口 启用 RIPng， 相 当 于 network 的 作用 


RB (config-if) #exit 

RB (config) #interface fastEthernet 0/1 
RB (config-if) #ipv6 rip ds enable 

(3) 查看 RA 路 由 器 的 路 由 表 。 


RA#show ipv6 route 


IPv6 Routing Table - 6 entries 
© 2001:1:s/64 【070] 
via ::， fastEthernet0/0 
D200:TrLA128 070) 
via ::， fastEthernet0/0 
C 2001:2::/64 [0/0] 
via ::, fastEthernet0/1 
T200217328 [D200 
via ::， fastEthernet0/1 
R2000:35 :Wea TI20W -- 通 过 RIPng 学 到 的 路 由 
via FE80::201:64FF:FE40:4E02, FastEthernet0/1 
L FEF00::/8 [0/0] 
Via Se, Null0 
(4) 在 RA 上 查看 运行 的 支持 IPv6 的 路 由 协议 。 
RA#show ipv6 protocols 
IPVv6 Routing Protocol is "connected" 
IPv6 Routing Protocol is "static 
IPvV6 Routing Protocol is "rip ds" 
Interfaces: 
fastEthernet0/0 
fastEthernet0/1 
(5) PC0 ping DHCP 服务 器 ， 能 通 。 
PE>ping 200133¢:2 


10.3.3 配置 EIGRPv6 支持 IPv6 
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就 像 RIPng 一 样 ，EIGRPv6 与 其 IPv4 前 辈 几 乎 是 一 样 的 ，EIGRP 的 大 多 数 特性 在 


EIGRPv6 中 都 保留 了 。 


EIGRPv6 仍然 是 高 级 距离 矢量 路 由 协议 ， 并 且 有 一 些 链 路 状态 路 由 协议 的 特征 。 邻 居 
发 现 的 过 程 仍 然 使 用 hello 来 进行 , 它 仍然 使 用 可 靠 的 传输 协议 来 提供 可 靠 的 通信 , 并 使 用 


弥散 更 新 算法 (DUAL) 实现 无 环 路 的 快速 收敛 。 
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EIGRPv6 使 用 组 播 传输 来 发 送 hello 包 和 更 新 信息 ， 正 如 RIPng 一 样 ，EIGRPv6 的 组 
播 地 址 几乎 是 一 样 的 。 在 IPv4 中 ， 它 是 224.0.0.10; 在 IPv6 中 ， 它 是 FF02::A (在 十 六 进 
制 表示 法 中 ，A=10)。 

但 显然 ， 这 两 个 版 本 有 着 不 同 之 处 。 最 明显 的 不 同 是 ， 正 如 RIPng 一 样 ， 不 使 用 网 络 
命令 了 ,要 通告 的 网 络 和 接口 必须 在 接口 配置 模式 下 启用 。 但 在 EIGRPv6 中 ,仍然 使 用 路 
由 器 配置 模式 来 启用 路 由 协议 ， 因 为 路 由 协议 必须 用 文字 命令 打开 , 就 像 要 用 no shutdown 
命令 打开 接口 一 样 。 

EIGRPv6 的 配置 如 下 : 

Routerl (config) #ipv6 router eigrp 10 

在 这 里 ，10 仍然 是 自治 系统 (AS) 号。 提示 符 变 成 了 (config-rtr) #， 而 且 必 须 在 这 
里 执行 no shutdown 命令 : 

Router1l (config-rtr) #no shutdown 


还 必须 指定 一 个 routerID: 


Router1l (config-rtr) #router-id 4.0.0.1 

在 这 种 模式 下 ， 也 可 以 配置 其 他 的 选项 ， 比 如 路 由 再 发 布 。 

现在 ， 让 我 们 进入 接口 模式 ， 并 启用 EIGRPv6: 

Router1l (config-if) #ipv6 eigrp 10 

在 接口 命令 中 ，10 同样 表示 AS 号 ， 它 是 在 配置 模式 下 启用 的 。 

示例 : 在 IPv6 网 络 中 配置 EIGRPv6 

打开 随 书 光盘 中 第 10 章 练习 “03 IPv6 动态 路 由 协议 EIGRPv6.pkt”， 网 络 拓扑 如 图 
10-13 所 示 。 网 络 中 有 3 个 IPv6 网 段 ， 计 算 机 和 路 由 器 已 经 按照 图 示 配置 好 了 IPv6 地 址 ， 
你 需要 在 IPv6 环境 中 配置 动态 路 由 协议 EIGRPv6。 


B42001:2::1/64 


2001:2: :2464 


2001:2::0764 


全 图 10-13 IPv6 动态 路 由 协议 EIGRPv6 实验 环境 
配置 EIGRPv6 的 步骤 如 下 。 
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(1) 使 用 PC0 ping DHCP 测试 网 络 ， 你 会 发 现 不 通 。 因 为 路 由 器 没有 配置 路 由 表 。 
(2) 在 RA 上 启用 EIGRPv6。 


RA (config) #ipv6 unicast-routing 一 -启用 IPv6 支持 

RA (config) #ipv6 router eigrp 10 =--10 是 自制 系统 编号 ， 和 EIGRP 一 样 
RA (config-rtr) #router-id 4.0.0.1 -指定 一 个 routerID， 必 须 的 

RA (config-rtr) #no shutdown -必须 运行 no shutdown 启用 EIGRP 


RA (config-rtr) #exi 
RA (config) #interface fastEthernet 0/0 

RA (config-if) #ipv6 eigrp 10 

一 -在 接口 启用 EIGRPv6， 相 当 于 EIGRP 中 的 network 作用 

RA (config-if) #ex 

RA (config) #interface fastEthernet 0/1 

RA (config-if) #ipv6 eigrp 10 

(3) 在 RB 上 启用 EIGRPv6。 

RB (config) #ipv6 unicast-routing 

RB (config) #ipv6 router eigrp 10 

RB (config-rtr) #router-id 4.0.0.2 -- 指 定 一 个 routerID， 必 须 的 

RB (config-rtr) #no shutdown -- 必 须 运行 no shutdown 启用 EIGRP 
RB (config-rtr) #exi 

RB (config) #interface fastEthernet 0/0 

RB (config-if) #ipv6 eigrp 10 

RB (config-if) #ex 

RB (config) #interface fastEthernet 0/1 

RB (config-if) #ipv6 eigrp 10 

(4) 在 RB 上 查看 IPv6 路 由 表 。 


RB#show ipv6 route 


IPVv6 Routing Table - 6 entries 
D 2001:1::/64 [90/30720] =-- 通 过 EIGRPv6 学 到 的 路 由 
Via FE80::260:3EFF:FEC8:8402, fastEthernet0/1 
C 2001:2::/64 [0/0] 
via :;:;, fastEthernet0/1 
T2001:2552/128 10X01 
via ::, fastEthernet0/1 
C 2001:3::/64 [0/0] 
via ::, fastEthernet0/0 
EL 2001:3::s1/128 [070] 
via ::, fastEthernet0/0 


L FF00::/8 [0/0] 
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via sr Nulld 
(5) 在 RB 上 查看 支持 IPv6 的 动态 路 由 协议 配置 情况 。 
RB#show ipv6 protocols 
IPv6 Routing Protocol is "connected" 
IPv6 Routing Protocol is "static" 
IPv6 Routing Protocol is "eigrp 10 " 
EIGRP metric weight K1=1,K2=0,K3=1,K4=0,K5=0 
EIGRP maximum hopcount 100 
EIGRP maximum metric variance 1 
Interfaces: 
fastEthernet0/0 
fastEthernet0/1 
Redistributing: eigrp 10 
Maximum path: 16 
Distance: internal 90 external 170 
(6) 使 用 PC0 ping DHCP， 你 会 发 现 网 络 通 。 
PC>ping 2001:3::2 


10.3.4 ”配置 OSPFv3 支持 IPv6 


新 版 本 的 OSPF 与 IPv4 中 的 OSPF 有 许多 相似 之 处 。 

OSPF 的 基本 概念 还 是 一 样 的 ， 它 仍然 是 链 路 状态 路 由 协议 ， 它 将 整个 网 络 或 自治 系 
统 分 成 地 区 ， 从 而 使 网 络 具 有 层次 。 

在 OSPFv2 中 ， 路 由 器 ID (CRID) 由 分 配给 路 由 器 的 最 大 IP 地 址 决定 (也 可 以 由 你 来 
分 配 )。 在 OSPFv3 中 ， 可 以 分 配 RID、 地 区 ID 和 链 路 状态 ID， 链 路 状态 ID 仍然 是 32 位 
的 值 ， 但 却 不 能 再 使 用 IP 地 址 来 找到 了 ， 因 为 IPv6 的 地 址 为 128 位 。 根 据 这 些 值 的 不 同 
分 配 ， 会 有 相应 的 改动 ， 从 OSPF 包 的 报头 中 ， 还 删除 了 IP 地 址 信息 ， 这 使 得 新 版 本 的 
OSPF 几乎 能 通过 任何 网 络 层 协议 进行 路 由 。 

在 OSPFv3 中 ， 邻 接 和 下 一 跳 属 性 使 用 链 路 本 地 地 址 ， 但 仍然 使 用 组 播 流量 来 发 送 其 
更 新 和 应 答 信息 。 对 于 OSPF 路 由 器 ， 地 址 为 FF02::5， 对 于 OSPF 指定 路 由 器 ， 地 址 为 
FF02::6， 这 些 新 地 址 分 别 用 来 替换 224.0.0.5 和 224.0.0.6。 

此 外 ，IPv4 协议 的 灵活 性 不 是 太 好 ， 不 具有 通过 OSPFv2 向 OSPF 进程 分 配 特定 的 网 
络 和 接口 的 能 力 。 但 仍然 需要 在 路 由 器 配置 模式 下 配置 一 些 选项 。 在 OSPFv3 中 ， 就 像 我 
们 前 面 讨论 过 的 其 他 IPv6 路 由 协议 的 配置 一 样 , 接口 及 与 这 些 接口 相连 的 网 络 ， 是 在 接口 
配置 模式 下 直接 在 接口 上 进行 配置 的 。 

OSPFv3 的 配置 如 下 : 


Routerl1 (config) #ipv6 router ospf 10 
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Router1l (config-rtr) #router-id 4.0.0.1 

需要 从 路 由 器 配置 模式 中 执行 一 些 配 置 命令 ， 比 如 路 由 汇总 和 重 分 配 。 

在 接口 上 启用 OSPFv3， 只 需 进 入 每 个 接口 并 分 配 进程 ID 和 地 区 即 可 。 

Router1l (config-if) #ipv6 ospf 10 area 0 

示例 : 在 IPv6 网 络 中 配置 OSPFv3 

打开 随 书 光盘 中 第 10 章 练习 “04 ”IPv6 动态 路 由 协议 OSPFv3.pkt”， 网 络 拓扑 如 图 
10-14 所 示 。 网 络 中 有 3 个 IPv6 网 段 ， 计 算 机 和 路 由 器 已 经 按照 图 示 配 置 好 了 IPv6 地 址 ， 
你 需要 在 IPv6 环境 中 配置 动态 路 由 协议 OSPFv3 。 


2001:2::0/64 


人 图 10-14 ”IPv6 动态 路 由 协议 0SPFv3 实验 环境 
配置 OSPFv3 的 步骤 如 下 。 
(1) 在 RA 上 启用 OSPFv3， 并 配置 工作 的 接口 和 区 域 。 
RA (config) #ipv6 unicast-routing 
RA (config) #ipv6 router ospf 1 --1 是 OSPF 进程 号 
RA (config-rtr) #router-id 4.0.0.1 -- 指 定 一 个 routerID 作为 路 由 的 标识 ， 必 须 的 
RA (config-rtr) #exit 
RA (config) #interface fastEthernet 0/0 
RA (config-if) #ipv6 ospf 1 area 0 -- 指 定 OSPF 协议 工作 的 接口 和 所 属 的 区 域 
RA (config-if) #ex 
RA (config) #interface fastEthernet 0/1 
RA (config-if) #ipv6 ospf 1 area 0 
(2) 在 RB 上 启用 OSPFv3， 并 配置 工作 的 接口 和 区 域 。 
RB (config) #ipv6 unicast-routing 
RB (config) #ipv6 router ospf 1 
RB (config-rtr) #router-id 4.0.0.2 
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RB (config-rtr) #ex 

RB (config) #interface fastEthernet 0/0 
RB (config-if) #ipv6 ospf 1 area 0 

RB (config-if) #ex 

RB (config) #interface fastEthernet 0/1 
RB (config-if) #ipv6 ospf 1 area 0 

(3) 在 RB 上 查看 路 由 表 。 


RB#show ipv6 route 


IPVv6 Routing Table - 6 entries 
0 2001:1::/64 [110/1] -- 通 过 OSPFv3 学 到 的 路 由 
Via FE80::260:3EFF:FEC8:8402, fastEthernet0/1 
C2001:255/64 0A0] 
via ::, fastEthernet0/1 
L200L.s2s>s2/1203 (00 
via ::, fastEthernet0/1 
C 2001:35s/64 【0701] 
via ::, fastEthernet0/0 
五 220013534X125100701 
via ::, fastEthernet0/0 
L FF00::/8 [0/0] 
Wha see OO 
(4) 在 RB 上 查看 配置 IPv6 的 协议 。 
RB#show ipv6 protocols 
IPVv6 Routing Protocol is "connected" 
IPv6 Routing Protocol is "static" 
IPVv6 Routing Protocol is "ospf 1" 
Interfaces (area 0) 
fastEthernet0/0 
fastEthernet0/1 
(5) 使 用 PC0 ping DHCP， 测 试 IPv6 网 络 是 否 畅通 。 
PC>ping 2001:3::2 


0.4 | IPv6 和 1IPv4 共 


为 了 解决 IPv4 存在 的 问题 ， 早 在 1995 年 ， 互 联网 工作 组 (IETF) 就 已 经 开始 着 手 开 
发 下 一 代 互 联网 技术 。 于 是 IPv6 应 运 而 生 。 
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在 目前 以 IPv4 为 基础 的 网 络 技术 如 此 成 熟 与 成 功 的 情况 下 ,不 可 能 马上 抛 开 原 有 IPv4 
网 络 来 创建 Pv6 网 络 ， 只 能 通过 分 步 实施 的 方法 来 逐步 过 渡 。 因 此 ,在 今后 相当 长 的 一 段 
时 间 内 , IPv6 网 络 将 和 IPv4 网 络 共存 。 如 何以 合理 的 代价 逐步 地 将 IPv4 网 络 过 渡 到 IPv6、 
解决 好 IPv4 与 IPv6 互相 共存 将 是 我 们 需要 迫切 考虑 的 。 针 对 以 上 问题 ， 目 前 提出 了 三 种 
主要 的 过 渡 技 术 : 双 协 议 栈 (DualStack)、 隧 道 技术 (Tunnel)、 地 址 协议 转换 (NAT-PT)。 
当然 ， 这 些 过 渡 技 术 都 不 是 普遍 适用 的 ， 每 一 种 技术 都 是 适用 于 某 种 或 几 种 特定 的 网 络 情 
况 , 在 实际 应 用 时 需 综合 考虑 各 方面 现实 情况 , 然后 选择 合适 的 转换 机 制 进行 设计 和 实施 。 


10.4.1 双 协 议 栈 技术 


双 协 议 栈 是 指 在 单个 结 点 同时 支持 IPv4 和 IPv6 两 种 协议 。 由 于 IPv6 和 IPv4 是 功能 
相近 的 网 络 层 协 议 ， 两 者 都 基于 相同 的 物理 平台 ， 而 且 加 载 于 其 上 的 传输 层 协 议 TCP 和 
UDP 也 没有 区 别 ， 所 以 可 以 在 一 台 主 机 上 同时 支持 IPv4 协议 和 IPv6 协议 。 双 协议 栈 技术 
的 工作 原理 如 下 。 

一 台 主 机 同时 支持 IPv6 和 IPv4 两 种 协议 ， 该 主机 既 能 与 支持 IPv4 协议 的 主机 通信 ， 
又 能 与 支持 IPv6 协议 的 主机 通信 。 双 协议 栈 是 其 他 IPv4/IPv6 互通 技术 的 基础 ， 它 有 以 下 
3 种 工作 模式 。 

" ”只 运行 IPv6 协议 ， 此 时 表现 为 IPv6 结 点 。 

= ”只 运行 IPv4 协议 ， 此 时 表现 为 IPv4 结 点 。 

= ”同时 打开 IPv6 和 IPv4 协议 。 

双 协 议 栈 主机 的 协议 结构 如 表 10-2 所 示 。 

表 10-2 双 协 议 栈 主机 的 协议 结构 


应 用 程序 
TCP/UDP 协议 
接 入 网 络 


双 协 议 栈 主 机 在 通信 时 首先 通过 支持 双 协 议 的 DNS 服务 器 查询 与 目的 主机 名 对 应 的 
IP 地 址 ， 然 后 根据 指定 的 IPv6 或 IPv4 地 址 开始 通信 。 双 协议 栈 通信 方式 如 图 10-15 所 示 。 


IPv4/IPv6 DNS 服务 器 


IPv4 服 务 器 


IPv4/IPv6 双 协议 主机 IPv6 服 务 器 


全 图 10-15 双 协 议 栈 示 意图 
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Windows Server 2008 和 Windows Server 2003 默认 是 双 协 议 栈 ，Windows Server 2008 
的 DNS 服务 器 支持 IPv4 和 IPv6 的 名 称 解 析 。 


10.4.2 6 to 4 隧道 技术 


隧道 技术 是 将 IPv6 的 报 文 分 组 封装 到 IPv4 的 分 组 中 ， 分 组 的 源 地 址 和 目的 地 址 分 别 
是 隧道 入 口 和 出 口 的 IPv4 地 址 。 

随 着 IPv6 网 络 的 发 展 ,将 会 出 现 许多 局 部 的 IPv6 网 络 ,但 是 这 些 IPv6 网 络 被 运行 IPv4 
协议 的 主干 网 络 所 分 隔 开 来 。IPv6 网 络 就 像 是 处 于 IPv4“ 海 洋 ” 中 的 “孤岛 ?>， 为 了 使 这 
些 “IPv6 孤岛 ” 可 以 互通 ， 必 须 使 用 隧道 技术 ， 此 技术 要 求 隧道 两 端的 结 点 〈 路 由 器 ) 都 
支持 IPv4/IPv6 两 种 协议 ， 其 通信 方式 如 图 10-16 所 示 。 

在 隧道 的 入 口 处 ， 路 由 器 将 IPv6 的 数据 报 封装 入 IPv4 中 ，IPv4 数据 报 的 源 地 址 和 目 
的 地 址 分 别 是 隧道 入 口 和 出 口 的 IPv4 地 址 。 在 隧道 的 出 口 处 再 将 IPv6 数据 报 取出 转发 给 
目的 站 点 。 隧 道 技术 只 要 求 在 隧道 的 入 口 和 出 口 处 进行 修改 ， 对 其 他 部 分 没有 要 求 ， 因 而 
很 容易 实现 。 但 是 隧道 技术 不 能 实现 IPv4 主机 和 IPv6 主机 的 直接 通信 。 


IPv4/IPv6 路 由 器 IPv4/IPv6 路 由 器 


IPv6 网 络 二 | D 下 v6 网 络 
! ' 
. ' IPv6 孤 岛 
9 I 
[EPEv6 packet | IPv4 
将 IPv6 的 数据 包 封装 在 IPv4 的 数据 包 中 


A 图 10-16 6 to 4 隧道 示意 图 


示例 : 配置 6 to 4 隧道 

本 实验 使 用 Dynamips 软件 来 运行 Cisco 3640 系列 路 由 器 IOS。Packet Tracer 不 支持 该 
实验 。 该 IOS 从 www.91xueitcom 网 站 下 载 ， 文 件 名 为 unzip-c3640-js-mz.124-10.bin。 

6to 4 隧道 技术 实验 网 络 拓扑 如 图 10-17 所 示 。 两 个 IPv6 网 络 使 用 IPv4 网 络 连接 ， 网 
络 中 的 计算 机 和 路 由 器 需要 按照 图 示 的 地 址 配置 IPv6 地 址 和 IPv4 地 址 ， 需 要 在 RA 路 由 
器 上 添加 到 10.0.1.0/24 网 段 的 路 由 ， 在 RC 路 由 器 上 添加 到 10.0.0.0/24 网 段 的 路 由 。 

现在 你 需要 在 RA 和 RC 路 由 器 上 配置 一 个 6to 4 的 隧道 ,将 IPv6 的 数据 包 封装 在 IPv4 
的 数据 包 中 ， 使 得 两 个 IPv6 的 网 络 能 够 相互 通信 。 

在 配置 IPv6 隧道 时 ， 两 端的 Tunnel0 接口 也 要 配置 IPv6 地 址 。 这 两 个 IPv6 地 址 必须 
在 一 个 网 段 ， 这 样 你 的 IPv6 网 络 就 可 以 认为 有 3 个 网 段 ， 如 图 10-17 所 示 。 要 想 使 这 3 个 
IPv6 网 络 通 ， 必 须 在 RA 和 RC 路 由 器 上 添加 到 对 方 网 络 的 IPv6 路 由 。 
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2001:3: :2/64 


2001:1::2/64 


| IPv4 数 据 包 


全 图 10-17 6 to 4 隧道 实验 环境 
配置 6to 4 隧道 的 步骤 如 下 。 
(1) 在 RA 上 的 配置 
RA#config 七 
RA (config) #interface Tunnel ? -配置 隧道 接口 ， 查 看 可 用 的 隧道 接口 数量 
<0-2147483647> Tunnel interface number 
RA (config) #interface Tunnel 0 
RA (config-if) #no sh 
RA (config-if) #ipv6 address 2001:2::1/64 
RA (config-if) #Tunnel source 10.0.0.1 
RA (config-if) #Tunnel destination 10.0.1.2 
RA (config-if) #Tunnel mode ipv6ip 
RA (config-if) #exit 
RA (config) #ipv6 route 2001:3::/64 2001:2::2 
最 后 一 条 命令 添加 到 达 2001:3::0/64 网 段 的 路 由 ,下 一 跳 是 RC 路 由 器 Tunnel 0 接口 的 
IPv6 地 址 。 
(2) 在 RC 上 的 配置 : 
RC#config 七 
RC (config) #interface Tunnel 0 
RC (config-if) #no shutdown 
RC (config-if) #ipv6 address 2001:2::2/64 
RC (config-if) #Tunnel source 10.0.1.2 
RC (config-if) #Tunnel destiNATion 10.0.0.1 


RC (config-if) #Tunnle mode ipv6ip 
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RC (config-if) #exit 
RC (config) #ipv6 route 2001:1::/64 2001:2::1 -- 这 条 命令 添加 到 达 2001:1::0/64 
网 段 的 路 由 ,下 一 条 是 RA 路 由 器 Tunne10 接口 的 IPv6 地 址 


RC#show ipv6 interface brief ”-- 显 示 IPv6 的 配置 ， 如 图 10-18 所 示 

RCHshow ipu6 interface brief 

FastEthernet@/0 [adninistratively down/down] 
unassigned 

FastEthernet@/1 [adninistratively down/down] 
unassigned 

FastEthernet1/0 [up/up] 
FE8@: :CEB9:DFF:FECB:19 
2801:3::1 

Serial2/0 [adninistratively down/down] 
unassigned 

Serial2/1 [up/up] 
unassigned 

Serial2/2 [adninistratively down/down] 
unassigned 

Serial2/3 [adninistratively down/down] 
unassigned 

Tunne19 [up/up] 
FE8@: :AG0:102 
2981:2::2 


全 图 10-18 显示 接口 IPv6 地 址 


(3) 在 RA 上 ping RC 的 Fa0/0 的 IPv6 地 址 ， 能 通 。 
RA#ping 2001:3::1 


10.4.3 ISATAP 隧道 


ISATAP ( Intra-Site Automatic Tunnel Addressing Protocol， 站 间 自 动 隧道 寻 址 协议 ) 是 
-种 地 址 分 配 和 主机 到 主机 、 主 机 到 路 由 器 和 路 由 器 到 主机 的 自动 隧道 技术 。 它 为 IPv6 

主机 之 间 提 供 了 跨越 IPv4 内 部 网 络 的 单 播 IPv6 连通 性 。ISATAP 一 般 用 于 IPv4 网 络 中 的 
IPv6/IPv4 结 点 间 的 通信 。ISATAP 使 用 本 地 管理 的 接口 标识 符 ::0:5EFE:w.x.y.z， 其 中 ，0: 
5EFE 部 分 是 由 Internet 号 码 分 配 中 心 (IANA) 所 分 配 的 机 构 单元 标识 符 (00-00-5E) 和 表 
示 内 嵌 的 IPv4 地 址 类 型 的 类 型 号 (FE) 组合 而 成 的 ; wx.y.z 部 分 是 任意 的 单 播 IPv4 地 址 ， 
既 可 以 是 私有 地 址 ， 也 可 以 是 公共 地 址 。 

任何 有 效 的 IPv6 单 播 地 址 的 64 位 前 级 都 可 以 和 ISATAP 接口 标识 符 相 结合 。 它 们 包 
括 链 路 本 地 地 址 前 级 《FE80::/64)、 全 球 前 级 (包括 6to 4 前 级 ) 和 站 点 本 地 前 级 。 

ISATAP 地 址 中 也 包含 了 一 个 内 婴 的 IPv4 地 址 ， 这 一 点 与 IPv4 映射 地 址 、6 over 4 地 
址 和 6 to 4 地 址 类 似 。 内 嵌 的 IPv4 地 址 的 作用 是 : 在 发 往 ISATAP 地 址 的 IPv6 通信 流通 过 
隧道 跨越 了 IPv4 网 络 后 ， 可 用 它 来 确定 IPv4 报头 中 的 源 IPv4 地 址 或 目标 IPv4 地 址 。 

示例 : 配置 ISATAP 隧道 

本 实验 使 用 Dynamips 软件 创建 的 网 络 环境 进行 配置 ， Packet Tracer 不 支持 本 实验 。 网 
络 拓扑 如 图 10-19 所 示 ， 按 照 图 示 配 置 网 络 中 路 由 器 的 IPv4 地 址 和 IPv6 地 址 ， 并 添加 路 
由 表 使 IPv4 的 网 络 能 够 畅通 。 


29' 
SW1 


192.168.1.0/24 1 


5 192. 168. 1. 2/24 
PT 


192. 168. 0. 0/24 \ 
2 
~ 


一 -天 pa 
> 
“se2/0 
24 Fal/0 A Se2/0 | RB 


1 


interface Tunnel 0 

ipv6 Address 2001:3: :764 eui-64 
Tunnel source 192. 168.0.2 
Tunnel mode ipvBip isatap 


ISATAP 路 由 器 


2001:2: :0/64 2 pp 


a 


2001:1: :0/64 


2 
2001:1::2/64 PC- 
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PC0 到 PC1 使 用 PC0 的 ITPv4 地 址 作为 源 IP 地 址 ，ISATAP 路 由 器 的 ITPv4 地 址 作为 目标 ITP 地 址 
去 掉 IPv4 的 数据 包头 进入 IPv6 网 络 


2001 3. .5ere 192 168. 1. [2001.1: :2[192. 168. 1. 2]192. 168 ve > 2001 3. 5eee 192. 165.1.2 


rr > 


< 192. 168. 1. 2]192. 168. 0.2 [2001:3: :5efe.192. 168.1. 2[2001:1: :2 国 国 < mr 168.1.2 


2001:1: 2 加 加 


从 IPv6 的 数据 包 提取 出 IPv4 的 地 址 作为 目标 地 址 ，Tunnel Source 地 址 作为 IPv4 的 源 地 址 
将 IPv6 的 数据 包 封装 到 IPv4 的 数据 包 中 进入 IPv4 的 网 络 


人 A 图 10-19 ISATAP 隧道 实验 环境 


IPv4 网 络 不 外 


区 有 网 络 地 址 转换 ， 否 则 会 失败 。 


(1) 在 RA 路 由 器 上 的 配置 : 
RA#configt 

RA (config) #interface Serial 2/0 
RA (config-if) #clock rate 64000 
RA 

RA (config-if) #no sh 

RA (config-if) #ex 

RA (config) #interface Fa 1/0 
RA 

RA (config-if) #no sh 

(2) 在 RB 路 由 器 上 的 配置 : 


RB (config) #ipv6 unicast-routing 


RB (config) #interface Serial 2/1 


RB (config-if) #clock rate 64000 


(config-if) #ip address 192.168.0.1 255.255.255.0 


(config-if) #ip address 192.168.1.1 255.255.255.0 
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RB (config-if) #ipv6 address 2001:2::1/64 
RB (config-if) #no sh 
RB (config-if) #ex 
RB (config) #interface Serial 2/0 
RB (config-if) #ip address 192.168.0.2 255.255.255.0 
RA (config-if) #no sh 
RB (config-if) #ex 
RB (config) #ipv6 route 2001:1::/64 2001:2::2 
-添加 到 达 2001 :1: : /64 网 段 的 路 由 
RB (config) #ip route 192.168.1.0 255.255.255.0 192.168.0.1 
(3) 在 RB 上 配置 ISATAP 接口 。 
RB (config) #interface Tunnel0 
RB (config-if) #ipv6 address 2001:3::/64 eui-64 
-注意 IPv6 的 必须 使 用 eui-64 方式 指定 
RB (config-if) #no ipv6 nd suppress-ra 
-- 在 IPv6 的 接口 上 将 不 会 发 送 路 由 器 公告 报 文 
RB (config-if) #Tunnel Source 192.168.0.2 
RB (config-if) #Tunnel mode ipv6ip ? 
6to4 IPv6 automatic tunnelling using 6to4 
auto-tunnel IPv6 automatic tunnelling using IPv4 compatible addres 
isatap IPv6 automatic tunnelling using ISATAP 
<cr> 
RB (config-if) #tunnel mode ipv6ip isatap 
RB (config-if) #no sh 
必须 使 用 eui 方式 指定 Tunnel 0 接口 的 IPv6 地 址 。 
配置 了 一 个 Interface Tunnel 0， 为 该 接口 配置 了 一 个 IPv6 地 址 ， 并 且 指 定 了 隧道 的 源 
地 址 ， 并 配置 隧道 模式 为 ISATAP。 现 在 ISATAP 路 由 器 就 配置 好 了 ， 下 面 配 置 IPv6 
网 络 中 的 计算 机 PC0, 指定 ISATAP 路 由 器 的 地 址 192.168.0.2，ISATAP 路 由 器 则 会 为 
PC0 分 配 一 个 IPv6 地 址 2001:3::5efe:192.168.0.2，IPv4 的 计算 机 都 会 被 分 配 到 
2001:3::/63 网 段 。 
(4) 在 RB 路 由 器 上 查看 运行 的 配置 。 
RB#show running-config ”-- 可 以 看 到 interface Tunne10 的 配置 ， 以 下 是 部 分 输出 


interface Tunnel0 


no ip address 

no ip redirects 

ipv6 address 2001:3::/64 eui-64 
no ipv6 nd suppress-ra 


tunnel source 192.168.0.2 


tunnel mode ipv6ip isatap 


(5) 在 RC 上 的 配置 ， 配 置 隧道 。 
RC (config) #ipv6 unicast-routing 
RC (config) #interface fastEthernet 1/0 
RC (config-if) #ipv6 address 2001:1::1/64 
RC (config-if) #no sh 
RC (config-if) #ex 
RC (config) #interface Serial 2/1 
RC (config-if) #ipv6 address 2001:2::2/64 
RC (config-if) #clock rate 64000 
RC (config-if) #no sh 
RC (config) #ipv6 route 2001:3::/64 2001:2::1 
=-- 添 加 到 达 2001 :3: : /64 网 段 的 路 由 
(6) 在 IPv4 的 计算 机 上 配置 ISATAP 隧道 。 
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ISATAP 客户 端 可 以 是 Windows XP、Windows Server 2003、Windows 7、Windows Server 
2008。Windows Server 2003、Windows 7、Windows Server 2008 默认 已 经 启用 了 IPv6。 


Windows XP 需要 安装 IPv6 协议 ， 才 能 配置 ISATAP 隧道 。 必 须 保 证 Windows XP 计 


算 机 能 够 和 ISATAP 路 由 器 的 接口 Se2/0 通信 。 


如 图 10-20 所 示 ， 在 命令 提示 符 下 ， 输 入 ipconfig， 能 够 看 到 IPv6 的 本 地 链 路 地 址 。 


C:\Documents and Settings Adninistrator>ipconf ig 
Windows IP Configuration 


Ethernet adapter 本 地 连接 3 


Connection-specific DNS Suffix 


IP hddress- - - - -- - -..- : 192.168.1.122 
Subnet hask - - - - - - - -.- : 255.255.255.0 
IP hadress- - - - - - --... fe80: :20c:29ff :fec5:1f77x5 
Default Gateuay - - - - - - . . . : 192.168.1.1 未 地 链 路 地 址 


Tunnel adapter Teredo Tunneling Pseudo-Interface: 


Connection-specific DNS Suffix 
IP hddress- - - - - - - - =- 。 - 


: fe8@: :上 人 人 下 :人 人 人 :上 ffdx4 


Tunnel adapter hutomatic Tunneling Pseudo-Interface: 


Connection-specific DNS Suffix 
IP hddress- - - - - - - - - -. - 


: fe80::5efe:192.168.1.122x2 


全 图 10-20 配置 IPv6 地 址 
在 命令 提示 符 下 ping RB 路 由 器 的 IPv4 地 址 。 确 保 能 够 ping 通 。 
在 命令 提示 符 下 输入 以 下 命令 ， 为 计算 机 配置 ISATAP 隧道 。 
C:\ >netsh interface ipv6 ISATAP set router 192.168.0.2 
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如 图 10-21 所 示 ， 指 定 ISATAP 路 由 器 地 址 ，ISATAP 路 由 器 就 会 分 配给 计算 机 一 个 路 


器 前 级 ， 所 有 配置 了 ISATAP 隧道 的 计算 机 都 会 分 配 到 一 个 IPv6 网 段 ， 也 就 是 和 
ISATAP 路 由 器 的 Tunnel 0 接口 在 同一 个 网 段 。 


C:\Documents and SettingsNhdministrator>ping 192.168.0.2 
Pinging 192.168.0.2 with 32 bytes of data: 


Reply from 192.168.0.2: hytes=32 time=24ms TTL=254 
Reply from 192.168.0.2: hytes=32 time=2@ms TIL=254 
Reply from 192.168.80.2: hytes=32 time=24ms TIL=254 
Reply from 192.168.0.2: hytes=32 time=24ms TIL=254 


Ping statistics for 192.168.0.2: 

Packets: Sent = 4. Received = 4。 Lost = @ (8x loss), 
hpproximate round trip times in milli-seconds: 

Minimum = 2@ms, Maximum = 24ms, fverage = i?nms 


C:\Documents and Settings dninistrator’cd \ 


C:Nnetsh interface ipu6 isatap set router 192.168.0.2 


o 


全 图 10-21 配置 ISATAP 隧道 


如 图 10-22 所 示 ， 再 次 输入 ipconfig， 你 能 看 到 ISATAP 路 由 器 配置 给 计算 机 的 IPv6 
地 址 , 可 以 看 到 该 地 址 是 2001:3::+ 5efe + IPv4 地 址 构成 的 。 如 果 没 有 出 现 自动 配置 的 
2001:3:: 网 段 ， 禁 用 、 启 用 网 卡 即 可 解决 。 


C: Vipconfig 


(7) 使 


Windows IP Configuration 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix 
IP hddress- - - - -  。 。 。 - 192.168.1.122 

Subnet Mask 255.255.255.@ 

IP Address. . - fe8B::2Bc:29ff:fec5:1f77x5 
Default Gateway - - - - - -. - - : 192.168.1.1 


Tunnel adapter Teredo Tunneling Pseudo-Interface: 


T 


Connection-specific DNS Suffix 


IP hddress : fe8@: :上 上 于: 于 :EFfdx4 一 


unnel adapter Autonatic Tunneling Pseudo-Interface: 


Connection-specific DNS Suffix 
IP hddress- - - - - 。 。 。。 - 

IP hddress- - - 
Default Gateway 


全 图 10-22 ISATAP 路 由 器 分 配给 计算 机 的 IPv6 地 址 


使 有 


网 络 


配置 了 ISATAP 隧道 的 IPv4 网 络 中 的 计算 机 测试 到 IPv6 网 络 的 连通 性 。 
拓扑 中 的 PCO ping RC 路 由 器 的 Fal/0 接口 。 


C:\>ping 2001:1::1 


Pinging 2001:1::1 with 32 bytes of data: 


Reply from 2001:1::1: time=llms 


Reply from 2001:1::1: time=lms 
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Reply from 2001:1::1: time=2ms 
Reply from 2001:1::1: time=lms 
Ping Statistics for 2001213 :二 
Packets: Sent = 4,Received = 4, Lost = 0 (0% loss) 
Approximate round trip times in milli-seconds: 
Minimum = lms, Maximum = llms, Average = 3ms 


到 目前 为 止 ，IPv4 网 络 中 的 计算 机 能 访问 IPv6 网 络 中 的 计算 机 。 


10.4.4 NAT-PT 


NAT-PT 技术 是 通过 与 SIIT 协议 转换 和 传统 的 IPv4 下 的 动态 地 址 翻译 及 应 用 层 网 关 相 
结合 ,实现 只 安装 IPv6 的 计算 机 和 只 安装 IPv4 的 计算 机 通信 。NAT-PT 是 最 常用 的 协议 转 
换 技术 ， 它 通过 SIIT 协议 转换 技术 和 IPv4 网 络 中 的 动态 地 址 翻译 (NAT) 技术 适当 地 与 
应 用 层 网 关 (Application Level Gateway，ALG) 相 结合 ， 实 现 了 IPv6 主机 和 纯 IPv4 主机 
的 大 部 分 应 用 的 相互 通信 。 

NAT-PT 通过 IPv4 和 IPv6 数据 包 之 间 报 头 和 语义 的 翻译 为 IPv6 结 点 与 IPv4 结 点 之 间 
的 通信 提供 透明 的 路 由 。 它 采用 传统 的 IPv4 下 的 NAT 技术 来 分 配 IPv4 地 址 ， 这 样 就 可 以 
用 很 少 的 IPv4 地 址 构成 自己 的 IPv4 地 址 分 配 池 ， 可 以 给 大 量 的 需要 进行 地 址 转换 的 应 用 
使 用 协议 转换 技术 服务 。 

NAT-PT 可 以 分 为 静态 和 动态 模式 。 

1) 静态 NAT-PT 

静态 模式 提供 一 对 一 的 IPv6 地 址 和 IPv4 地 址 的 映射 。IPv6 单 协议 网 络 域内 的 结 点 要 
访问 IPv4 单 协议 网 络 域内 的 每 一 个 IPv4 地 址 ， 都 必须 在 NAT-PT 设备 中 配置 。 每 一 个 目 
的 IPv4 在 NAT-PT 设备 中 被 映射 成 一 个 具有 预定 义 NAT-PT 前 级 的 IPv6 地 址 。 在 这 种 模式 
下 ， 每 一 个 IPv6 映射 到 IPv4 地 址 需要 一 个 源 IPv4 地 址 。 

2) 动态 NAT-PT 

在 动态 NAT-PT 中 ，NAT-PT 网 关 向 IPv6 网 络 通告 一 个 96 位 的 地 址 前 级 ， 并 结合 主 
机 32 位 IPv4 地 址 作为 对 IPv4 网 络 中 主机 的 标识 。 从 IPv6 网 络 中 的 主机 向 IPv4 网 络 发 送 
的 报 文 ， 其 目的 地 址 前 级 与 NAT-PT 发 布 的 地 址 前 级 相同 ， 这 些 报 文 都 被 路 由 到 NAT-PT 
网 关 ， 由 NAT-PT 网 关 对 报 文 头 进行 修改 ， 取 出 其 中 的 IPv4 地 址 信息 ， 替 换 目的 地 址 。 同 
时 ,NAT-PT 网 关 定义 了 IPv4 地 址 池 , 它 从 地 址 池 中 取出 一 个 地 址 来 替换 IPv6 报 文 的 源 地 
址 ， 从 而 完成 从 IPv6 地 址 到 IPv4 地 址 的 转换 。 
动态 NAT-PT 改进 了 静态 NAT-PT 配置 复杂 、 消耗 大 量 IPv4 地 址 池 的 缺点 。 由 于 它 采 
用 上 层 协议 映射 方法 ， 故 只 需 用 很 少 的 IPv4 地 址 就 可 以 支持 大 量 的 IPv6 到 IPv4 的 转换 。 
但 是 , 动态 NAT-PT 只 能 由 IPv6 一 侧 首先 发 起 连接 ， 路 由 器 把 IPv6 地 址 转换 为 IPv4 地 址 
后 ，IPv4 主机 才 知 道 使 用 哪 一 个 IPv4 地 址 来 标识 IPv6 主机 。 若 从 IPv4 端 首先 发 起 连接 ， 
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IPv4 主机 并 不 知道 IPv6 主机 的 IPv4 地 址 ， 因 为 这 个 地 址 是 NAT-PT 网 关 从 地 址 池 中 随机 
选择 的 ， 连 接 将 无 法 进行 。 

3) 结合 ALG 的 动态 NAT-PT 

ALG 即 应 用 层 网 关 ， 如 图 10-23 所 示 。 动 态 NAT-PT 映射 可 以 和 DNS ALG 联合 使 用 
来 转换 DNS 传输 ， 以 自动 建立 目的 结 点 的 转换 地 址 。NAT-PT 可 以 截取 由 IPv6 网 络 发 往 
IPv4 网 络 的 DNS 请 求 〈(A 记录 查询 )。IPv6 网 络 内 的 DNS 服务 器 必须 通过 NAT-PT 设备 
首先 向 IPv4 的 DNS 服务 器 发 送 DNS 查询 ， 随 后 NAT-PT 自动 地 将 DNS 响应 (A 记录 ) 
内 容 转换 为 一 个 IPv6 地 址 (A6 记录 )， 外 部 IPv4 地 址 和 有 NATPT 前 级 的 IPv6 地 址 的 


NAT-PT 映射 被 动态 的 配置 。 然 后 ，IPv6 单 协议 网 络 结 点 就 可 以 从 NAT-PT 设备 获得 一 个 
可 以 到 达 IPv4 目的 的 IPv6 地 址 。 


IPv4 DNS 服务 器 IPv6 DNS 服务 器 


IPv4 主 机 IPv6 主 机 


全 图 10-23 应 用 程序 网 关 
1. 示例 : 配置 静态 NAT-PT 


本 实验 使 用 的 IOS 是 unzip-c3640-js-mz.124-10.bin， 下 载 网 址 http:/www.91xueit.com， 
使 用 Dynamips 软件 搭建 的 实验 环境 ， 网 络 拓 扑 如 图 10-24 所 示 ，PC0 使 用 Windows XP 模 
拟 , IPv4 的 地 址 为 10.0.1.122, 网 关 为 10.0.1.1, RA 路 由 器 Fal/0 接口 的 IPv4 地 址 为 10.0.1.1， 
Se2/0 接口 的 IPv6 的 IP 地 址 为 2001:2::1，RB 路 由 器 的 接口 Se2/0 为 2001:2::2。 


10.0.2.2 —> 2001:2::2 Se 
10.0.1.122 < 一 2001:3::122 RB 路 由 器 通过 访问 2001:3: :122 访 问 PC0 


PC0 通 过 10. 0. 2. 2 访问 RB 路 由 器 Se 270 接 口 地 址 


0 01 12110022 > 0 3 122 [20012::2 > 


< 10.0.1.122110.0.2 2 < 2001:3::122 20012: :2 


A 图 10-24 静态 NAT-PT 实验 环境 
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实验 目标 : 现在 需要 在 路 由 器 RA 上 配置 NATPT 静态 映射 ,使 得 PC0 能 够 ping 通路 
由 器 RB 的 Se2/0 接口 。 配 置 静态 映射 的 结果 是 : PC0 通过 访问 10.0.2.2 访问 路 由 器 RB 的 
Se2/0 接口 IPv6 地 址 ， 路 由 器 RB 通过 访问 2001:3::122 访问 PC0 的 IPv4 地 址 。 
配置 静态 NAT-PT 的 步骤 如 下 。 
(1) 在 RA 上 配置 静态 NAT-PT。 


RA (config) #ipv6 unicast-routing 


RA (config) #interface fastEthernet 1/0 
RA (config-if) #ip address 10.0.1.1 255.255.255.0 
RA (config-if) #no shutdown 
RA (config-if) #ipv6 NAT 
RA (config-if) #exit 
RA (config) #interface Serial 2/0 
RA (config-if) #clock rate 64000 
RA (config-if) #no shutdown 
RA (config-if) #ipv6 address 2001:2::1/64 
RA (config-if) #ipv6 NAT 
RA (config-if) #exit 
RA (config) #ipv6 NAT v6v4 source 2001:2::2 10.0.2.2 
-- 该 命令 使 ITPv4 的 计算 机 通过 访问 10.0.2.2 就 能 够 访问 到 2001:2: :2 
RA (config) #ipv6 NAT v4v6 source 10.0.1.122 2001:3::122 
-- 该 命令 使 ITPv6 的 计算 机 通过 访问 2001:3: :122 就 能 访问 到 10.0.1.122 
RA (config) #ipv6 NAT prefix 2001:3::/96 
-定义 前 缘 长 度 ， 必 须 是 96 位 ， 这 就 意味 着 IPv4 中 的 计算 机 都 被 映射 到 IPv6 网 络 中 的 

2001:3: :/96 网 段 中 
RA (config) #exit 
RA#debug ipv6 NAT ”-- 启 用 IPv6 NAT 的 事件 输出 
(2) 在 RB 上， 配置 接口 IPv6 地 址 和 添加 IPv6 路 由 。 
RB (config) #ipv6 unicast-routing 
RB (config) #interface Se 2/0 
RB (config-if) #no shutdown 
RB (config-if) #ipv6 address 2001:2::2/64 
RB (config-if) #exit 
RB (config) #ipv6 route ::/0 2001:2::1 =-- 添 加 IPv6 的 默认 路 由 
(3) 在 PC0 上 ping 10.0.2.2， 通 过 这 个 地 址 能 够 ping 通 2001:2::2。 
(4) 在 RA 上 可 以 看 到 NAT-PT 的 输出 ， 如 图 10-25 所 示 。 
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仙姑 


计算机 网 络 


RAlidebug ipv6 nat 
IPu6 NAT-PT debugging is on 


: IPv6 NAT: 


: IPu6 NAT: 


: IPv6 NAT: 


: IPv6 NAT: 


: IPv6 NAT: 


: IPv6 NAT: 


: IPv6 NAT: 


src (18.8.1.122> -> ¢2881:3::122), dst 


icnp src (2881:2::2) -> (18.8.2.2), dst 


src C18.8.1.122> -> ¢2881:3::122), dst 


icmp src (2881:2::2) -> (18.8.2.2). dst 
src (18.8.1.122> -> ¢2881:3::122), dst 
icnp src (2881:2::2) -> (18.8.2.2), dst 


src (18.8.1.122> -> ¢2881:3::122), dst 


《19.8.2- 


《2881:3: 


《18.8.2- 


《2981:3: 


<18.8.2. 


《2881:3: 


《19.8.2- 


: IPu6 NAT: 


全 图 


icnp src (2881:2:: dst (2881:3: 


10-25 IPv6 NAT-PT 输出 


(5) 在 RB 上 输入 debug ipv6 packet， 可 以 看 到 IPv6 数据 包 接收 和 转发 产生 的 输出 ， 


如 图 10-26 所 示 。 


RBltdebug ipv6 packet 


IPu6 unicast packet debugging is on 


RB 


“Har 1 99:15:18.563: IPU6: 


: IPv6: 
: IPV6: 


“Har 1 99:15:11.487: 
27, forvard to ulp 


全 图 
2. 示例 : 配置 动态 NAT-PT 


动态 NAT-PT 实验 环境 
如 图 10-27 所 示 , 使 IPv6 网 
络 2001:2::/64 的 计算 机 能 
访问 IPv4 网 络 中 的 计算 机 。 
路 由 器 RB 需要 访问 PC0 
时 ,目标 IPv6 地 址 中 包括 
IPv4 地 址 ，10.0.1.122 写成 
十 六 进 制 就 是 A00:17A。 

需要 定义 一 个 IPv4 的 
地 址 池 10.0.2.100 一 
10.0.2.200， 这 样 只 允许 101 
个 IPv6 主机 同时 访问 IPv4 
网 络 中 的 计算 机 。 
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source 2981 
dest 2881:2 
traffic class 0, flow x8, len 88+4, prot 44, hops 1 


: IPv6: nexthop 2801:2::1, 
: IPU6: source 2081 Clocal) 
dest 2981:3::122 CSerial2/9) 


traffic class 0. flow x8. len 89+4。prot 58。 hops 6 


1270 
22 CSerial2/0) 


traffic class 0, flow Ox0, len 88+4, prot 44, hops 1 


10-26 显示 IPv6 数据 包 


动态 NAT-PT 


将 IPv6 的 IP 地 址 映射 为 IPv6 2001::/96 网 段 


动态 NAT-PT 只 能 由 IPv6 网 络 主动 向 IPv4 网 络 发 起 通信 


20002 2 国 呈 


< 1.12215.5.7.100 < mm 


该 地 址 包含 目标 ITPv4 地 址 
2001::10.0.1.122 


A 图 10-27 动态 NAT-PT 实验 环境 


IPv4 地 址 池 中 的 一 个 地 址 
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需要 创建 一 个 IPv6 访问 控制 列表 ， 指 定 允 许 哪 些 IPv6 访问 IPv4 网 络 。 
指定 将 IPv4 的 地 址 映射 到 2001::/64 IPv6 网 段 。 
动态 NAT-PT 实验 步骤 如 下 。 
(1) 在 RA 上 配置 动态 NATPT。 
RA (config) #ipv6 unicast-routing 
RA (config) #interface fastEthernet 1/0 
RA (config-if) #ip address 10.0.1.1 255.255.255.0 
RA (config-if) #no shutdown 
RA (config-if) #ipv6 NAT 
RA (config-if) #exit 
RA (config) #interface Serial 2/0 
RA (config-if) #clock rate 64000 
RA (config-if) #no shutdown 
RA (config-if) #ipv6 address 2001:2::1/64 
RA (config-if) #ipv6 NAT 
RA (config-if) #exit 
RA (config) #ipv6 access-list v4map permit 2001:2::/64 any 
RA (config) #ipv6 access-list v6list permit 2001:2::/64 any 
RA (config) #ipv6 NAT prefix 2001::/96 v4-mapped v4map 
RA (config) #ipv6 NAT v6v4 pool v4pool 10.0.2.100 10.0.2.200 prefix-length 24 
RA (config) #ipv6 NAT v6v4 source list v6list pool v4pool 
RA (config) #exit 
RA#debug ipv6é NAT 
(2) 在 路 由 器 RB 上 添加 IPv6 地 址 和 默认 路 由 的 步骤 省 略 ,在 路 由 器 RB 上 ping PC0， 
该 地 址 包含 IPv4 地 址 ，PC0 的 IPv4 地 址 写成 十 六 进 制 就 是 A00:17A。 
Ping 2001::A00:17A 
(3) 如 图 10-28 所 示 是 在 路 由 器 RA 上 的 输出 ,可 以 看 到 源 地 址 2001:2::2 被 10.0.2.100 
替换 ， 目 标 地 址 A00:17A 被 10.0.1.122 蔡 换 。 现 在 10.0.2.100 就 和 2001:2::2 做 了 
临时 的 映射 。 现 在 你 需要 在 PC0 上 通过 访问 10.0.2.100 访问 2001:2::2。 
RAidebug ipu6 nat 
IPu6 NAT-PT debugging is on 
ep 1 69:29:92.947: IPv6 NAT: icmp src 《2981:2::2》 -> (10.8.2.188), dst 
:AG0:17A> -> C10.9.1.122> 
xMar 1 99:29:92.951: IPv6 NAT: src C18.8.1.122> -> (2881::AG8:17A), dst 
2.199》 -> ¢2881:2::2> 
xMar 1 99:29:92.963: IPv6 NAT: src 《18.8.1.122> -> (2881::AG8:17A), dst 
2.199》 -> ¢2881:2::2> 
xMar 1 99:29:92.967: IPu6 NAT: icmp src 2881:2::2> -> (19-B-2-199>。dst 
:AGG:17A> -> 《19-B-1-122> 
全 图 10-28 IPv6 NAT 输出 


(4) 在 PC0 上 就 可 以 ping 10.0.2.100, 通过 路 由 器 RA, 将 该 数据 包 发 送 给 2001:2::2。 
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(5) 如 图 10-29 所 示 ， 在 路 由 器 RB 上 ， 运 行 debug ipv6 packet 命令 。 当 PC0 ping 
10.0.2.100 时 就 有 输出 。 


RBiidebug ipu6 packet 
IPu6 unicast packet debugging is on 


RB# 


aar 1 99:28:49.787: IPU6: source 28061::AG0:17A (Serial2/@> 
aar 1 @0:28:49.791: dest 2881:2::2 
xlar 1 99:28:49.791: traffic class 日 flow Gx@,. len 88+4。prot 44, 


Mar 1 G0:28:49.795: IPu6: nexthop 2981:2::1- 


全 图 10-29 IPv6 数据 包 事 件 输出 


Es 


. IPv6 (Internet Protocol Version 6) 是 网 络 层 协 议 的 第 二 代 标 准 协 议 ， 也 被 称 为 
(IP Next Generation )， 它 是 Intemet 工程 任务 组 (IETF) 设计 的 一 套 规范 ， 是 IPv4 的 


升级 版 本 。IPv6 和 IPv4 之 间 最 显著 的 区 别 就 是 IP 地 址 的 长 度 从 32 位 升 为 位 。 
2. IPv6 协议 是 确定 邻居 结 点 之 间 关 系 的 一 组 消息 和 进程 ， 是 一 组 ICMPv6 


(Internet Control Message Protocol for IPv6) 消息 ， 管 理 着 邻居 结 点 〈 即 同一 链 路 上 
的 结 点 ) 的 交互 。 

. 邻居 发 现 协议 用 高 效 的 和 单 播 消息 代 蔡 了 、ICMPv4 路 由 器 发 现 

(Router Discovery) 和 ICMPv4 重 定向 (Redirect) 消息 , 并 提供 了 一 系列 其 他 功能 。 

4. 未 来 获得 IPv4 地 址 会 越 来 越 难 , IPv4 地 址 已 变 成 一 种 稀缺 资源 , 而 互联 网 仍然 在 高 

速 发 展 ，NAT 是 一 个 重要 的 解决 方案 ,但 NAT 存在 一 些 弊 端 ， 如 NAT 破坏 了 1P 的 


oD 


_ 模型、 NAT 阻止 了 、NAT 的 效率 。 

5.IPv6 主要 有 三 种 地 址 : 和 

6. 单 播 只 能 进行 一 对 一 的 传输 ， 它 只 能 识别 一 个 接口 ， 并 将 报 文 传输 到 此 地 址 。 但 是 ， 
IPv6 单 播 地 址 的 类 型 可 有 多 种 ， 包 括 和 

7.IPv6 地 址 中 的 64 位 IEEE eui-64 格式 接口 标识 符 (InterfaceID ) 用 来 标识 链 路 上 的 一 
个 唯一 的 接口 。 这 个 地 址 是 从 接口 的 变化 而 来 的 。 

8.IPv6 地 址 中 的 接口 标识 符 是 64 位 , 而 MAC 地 址 是 48 位 , 因此 需要 在 MAC 地 址 的 
中 间 位 置 插入 十 六 进 制 数 。 为 了 确保 这 个 从 MAC 地 址 得 到 的 接口 标识 符 


是 唯一 的 ， 还 要 将 ULL 位 〈 从 高 位 开始 的 第 7 位 ) 设置 为 “1”。 最 后 得 到 的 这 组 数 
就 作为 eui-64 格式 的 接口 ID。 


9. 是 IPv6 进行 地 址 自动 配置 时 的 一 个 过 程 。 
10. IPv6 通过 IPv4 网 络 的 隧道 的 类 型 有 : 
11. IPv6 扩展 报头 包括 ， 路 由 项 、 、 逐 跳 选 项 、 目 的 选项 。 


12. 下 列 选项 中 
A. 2001::/10 


是 本 地 站 点 地 址 所 用 的 地 址 前 级 。 


.IPv6 和 IPv4 中 的 IPv6 主机 互联 通常 使 用 


. 建立 配置 隧道 会 用 到 
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B. FE80::/10 
C. FEC0::/10 
D. 2002::/10 


. 构架 在 IPv4 网 络 上 的 两 个 IPv6 孤岛 互联 ， 一 般 会 使 用 技术 解决 。 


A. ISATAP 隧道 

B. 配置 隧道 

C. 双 栈 

D. GRE 隧道 

技术 解决 。 


A. ISATAP 隧道 

B. 配置 隧道 

C. GRE 隧道 

D. NATPT 

这 些 命令 序列 。 


A. interface tunnel 

B. tunnel source 

C. tunnel destiNATion 
D. tunnel mode ipv6ip 


. 关于 链 路 本 地 地 址 ， 下 面 说 法 正确 的 是 。 


A. 是 一 种 单 播 受 限 地 址 ， 本 地 链 路 内 使 用 

B. 格式 前 绥 为 1111 1110 10 

C. 链 路 本 地 地 址 可 用 于 邻居 发 现 ， 且 总 是 自动 配置 的 
D. 包含 链 路 本 地 地 址 的 包 永 远 也 不 会 被 IPv6 路 由 器 转发 


. 关于 本 地 站 点 地 址 ， 下 面 说 法 正确 的 是 。 


A. 单 播 受 限 地 址 ， 限 于 站 点 内 使 用 

B. 格式 前 绥 为 1111 1110 11 

C. 本 地 站 点 地 址 总 是 自动 配置 的 

D. 相当 于 172.16.0.0/12 和 192.168.0.0/16 等 IPv4 私 用 地 址 空间 


. 关于 组 播 地 址 ， 下 面 说 法 正确 的 是 。 


A. IPv6 多 点 传送 地 址 格式 前 级 为 1111 1111 

B. 除 前 级 ， 多 播 地 址 还 包括 标志 、 范 围 域 和 组 ID 字段 

C. 标志 位 4 位 ， 高 三 位 保留 ， 初 始 化 成 0， 第 一 位 为 0， 表 示 一 个 被 IANA 永久 
分 配 的 组 播 地 址 ， 为 1 则 表示 一 个 临时 的 多 点 传送 地 址 

D. 范围 域 4 位， 是 一 个 多 点 传送 范围 域 ， 用 来 限制 组 播 的 范围 


. 简要 描述 PMTU 发 现 的 工作 过 程 。 
20. 


简 述 IPv6 主机 无 状态 地 址 配置 的 过 程 。 
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习题 答案 
1. IPng、 128 
2. 邻居 发 现 
3. 组 播 、ARP 
4. 端 到 端 、 端 到 端的 网 络 安全 
5. TLA 地 址 、NLA、SLA 
6. 全 球 单 播 地 址 、 链 路 本 地 地 址 、 站 点 本 地 地 址 
7. MAC 
8. FFFE 
9. 无 状态 的 自动 配置 
10.6 to 4 隧道 、ISATAP 隧道 、NAT-PT 
11. 分 段 、 认 证 、 安 全 封装 
1G:C 


双双 又 


C 
C、D 
D 


>>>>>> 


GD 
19. PMTU 发 现 的 工作 过 程 是 ， 源 端 主 机 先 使 用 自己 的 MTU 值 向 目的 主机 发 送 报 
文 ， 如 果 中 间 路 由 器 给 源 端 返回 一 个 错误 消息 , 则 源 端 主机 使 用 更 小 的 MTU 值 
来 重新 发 送 这 个 报 文 ， 如 此 反复 ， 直 到 目的 端 主机 收 到 这 个 报 文 ， 从 而 确定 网 
络 中 两 台 主 机 之 间 能 够 处 理 的 最 大 报 文 的 大 小 。 
20. A， 生成 链 路 本 地 地 址 
.发 送 多 播 邻 接点 请 求 报 文 
.是 否 收 到 回应 
. 是 ,停止 地 址 自动 配置 
. 和 否 ， 初 始 化 链 路 本 地 地 址 一 发 送 路 由 器 请 求 报 文 一 收 到 路 由 器 回应 报 文 ， 进 
行 设 置 一 生成 无 状态 地 址 前 绥 + 接 口 ID 一 发 送 多 播 邻接 点 请 求 报 文 一 是 否 收 
到 回应 
E. 是 ， 停 止 自动 配置 
E. 和 否 ， 初 始 化 无 状态 地 址 


一 
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第 11 章 广域网 


本 章 为 大 家 介绍 广域网 使 用 的 协议 ， 重 点 
同时 还 会 介绍 VPN 的 配置 、 使 用 Cisco 路 由 器 而 
2003 配置 为 运程 访 问 服务 器 。 


域 网 协议 HDLC、PPP 和 帧 中 继 协 议 ， 
为 远程 访问 服务 器 、 使 用 Windows Server 


英 基 
计算 机 网 络 


有 ms 


现在 对 比 介绍 广域网 和 局 域 网 , 以 下 的 介绍 没有 严格 从 这 两 个 词 的 原始 定义 和 原始 意思 
来 解释 。 当 代 技 术 使 得 这 一 定义 变 得 不 是 很 清晰 。 
" ”局 域 网 (Local Area Network， 简 称 LAN) 是 指 在 某 一 区 域内 由 多 台 计 算 机 互联 成 
的 计算 机 组 。 一 般 企 业 或 机 构 自 己 购买 设备 , 将 物理 位 置 较 近 的 办 公 区 的 计算 机 使 
用 网 络 设备 连接 起 来 , 覆盖 范围 在 几 千 米 以 内 。 局 域 网 使 用 的 网 络 设备 有 集线器 或 
交换 机 ， 带 宽 为 10M、100M、1000M 几 个 标准 ， 而 使 用 无 线 连接 的 局 域 网 带宽 标 
准 为 54M。 

= 广域网 (Wide Area Network， 简 称 WAN) 是 一 种 跨越 大 的 、 地 域 性 的 计算 机 网 络 
的 集合 。 由 专业 的 Internet 服务 器 提供 商 (ISP) 网 通 或 电信 提供 广域网 连接 。 比 如 
你 公司 需要 将 石家庄 一 个 办 事 处 的 局 域 网 和 北京 总 公司 的 网 络 连接 起 来 , 你 公司 不 
会 找 施 工 队 架 设 和 维护 石家庄 到 北京 的 网 络 线路 。 你 只 需 租用 网 通 或 电信 的 线路 即 
可 。 广 域 网 的 带宽 由 企业 所 付 的 费用 决定 ， 比 如 我 们 使 用 的 ADSL 就 是 租用 网 通 
或 电信 的 服务 ， 带 宽 有 1M、2M、4M。 

随 着 技术 的 发 展 ， 广 域 网 和 局 域 网 的 划分 有 时 候 也 不 是 单纯 从 距离 上 划分 的 。 比 如 你 和 
邻居 都 分 别 使 用 ADSL 访问 Intermet， 当 你 访问 邻居 的 计算 机 共享 文件 或 其 他 资源 的 时 候 ， 
你 的 计算 机 和 邻居 的 计算 机 就 是 广域网 连接 , 因为 你 们 是 通过 租用 网 通 或 电信 提供 的 服务 连 
接 的 ， 你 和 邻居 的 计算 机 如 果 使 用 网 线 直 接连 接 ， 就 是 局 域 网 连接 。 

再 比如 一 个 企业 的 两 栋 大 楼 距离 几 公 里 ， 这 两 栋 大 楼 中 的 局 域 网 通过 公司 的 光纤 连接 ， 
我 们 也 可 以 将 其 理解 为 局 域 网 ， 因 为 没有 租用 网 通 或 电信 提供 的 广域网 链 路 ， 也 就 是 没有 使 
用 广域网 技术 。 

简 而 言 之 , 局 域 网 就 是 自己 花 钱 购买 网 络 设备 , 自己 维护 网 络 , 带宽 10M、100M、1000M; 
广域网 就 是 花 钱 租用 广域网 线路 ,网通 或 电信 等 ISP 负责 保证 网 络 的 连通 性 , 带宽 由 费用 决定 。 


11.1.1 广域网 术语 


下 面 介绍 广域网 服务 提供 商 经 常 使 用 的 术语 。 图 11-1 示意 了 广域网 术语 所 指 的 概念 。 


全 图 11-1 广域网 术语 示意 图 
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" ”用 户 驻 地 设备 (Customer Premises Equipment，CPE) : 是 用 户 方 拥有 的 设备 ， 位 

于 用 户 驻 地 一 侧 。 

= ”分界 点 (Demarcation Point) : 是 服务 提供 商 最 后 负责 点 ， 也 是 CPE 的 开始 。 通 常 
是 最 靠近 电信 的 设备 ， 并 且 由 电信 公司 拥有 和 安装 。 客 户 负责 从 此 盒子 到 CPE 的 
布线 (扩展 分 界 ) ， 通 常 是 连接 到 CSU/DSU 或 ISDN 接口 。 

" ”本 地 环 路 (Local Looop) : 连接 分 界 点 到 称 为 中 心 局 的 最 近 交 换 局 。 

" ”中心 局 (Central Office，CO) : 这 个 点 连接 用 户 到 提供 商 的 交换 网 络 ， 有 时 也 指 
呈现 点 (POP) 。 

= 长途 网 络 (Toll Network) : 这 些 是 广域网 提供 商 网 络 中 的 中 继 线 路 。 它 是 属于 ISP 
的 交换 机 和 设备 的 集合 。 

熟悉 这 些 术 语 非常 重要 ， 因 为 这 是 理解 广域网 技术 的 关键 。 


11.1.2 广域网 连接 类 型 


广域网 可 以 使 用 许多 不 同 的 连接 类 型 , 这 部 分 将 介绍 目前 市 场 上 常见 的 各 种 广域网 连接 
类 型 。 可 以 通过 DCE 网 络 将 局 域 网 连接 在 一 起 。 下 面 解释 广域网 连接 类 型 。 

， ”租用 线路 (Leased Lines) : 租用 线路 典型 地 指点 到 点 连接 或 专线 连接 ， 它 是 从 本 
地 CPE 经 过 DCE 交换 机 到 远程 CPE 的 一 条 预先 建立 的 广域网 通信 路 径 。 允 许 
DTE 网 络 在 任何 时 候 不 用 设置 就 可 以 传输 数据 进行 通信 。 当 不 考虑 使 用 成 本 时 ， 
它 是 最 好 的 选择 类 型 。 它 使 用 同步 串 行 线路 ， 速 率 最 高 可 达 45Mb/s。 租 用 线路 通 
常 使 用 HDLC 和 PPP 封装 类 型 ， 下 面 将 会 讲 到 这 两 种 封装 类 型 。 租 用 线路 适用 于 
大 数据 传输 , 数据 流量 恒定 的 环境 。 一 般 建 议 在 连接 时 间 长 、 距离 较 短 的 场合 使 用 ， 
如 图 11-2 所 示 。 


同步 串 行 
专线 天 一 一 得 
全 图 11-2 租用 线路 
" ”电路 交换 (Circuit Switching ) : 当 你 听 到 电路 交换 这 个 术语 时 ， 就 想 一 想 电 话 呼叫 。 
它 最 大 的 优势 是 成 本 低 一 一 只 需 为 真正 占用 的 时 间 付 费 。 在 建立 端 到 端 连接 之 前 ， 不 
能 传输 数据 。 一 般 用 在 电话 公司 网 络 中 ， 与 我 们 日 常 拨打 电话 类 似 ， 是 一 种 按 需 拨号 
技术 ， 连 接 时 使 用 专用 物理 线路 ， 也 用 于 备份 连接 、 场 点 规模 小 、 短 时 间 的 访问 。 常 
用 的 连接 方式 有 : 拨号 上 网 、ISDN 和 ADSL， 如 图 11-3 所 示 。 


异步 囊 行 ISDN 


电路 交换 


A 图 11-3 电路 交换 
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" ” 包 交 换 (Packet Switching) : 这 是 一 种 广域网 交换 方法 ， 允 许 和 其 他 公司 共享 带宽 以 
节省 资金 。 可 以 将 包 交换 想像 为 一 种 看 起 来 像 租 用 线路 ， 但 费用 更 像 电路 交换 的 一 种 
网 络 。 不 利 因素 是 ， 如 果 需 要 经 常 传输 数据 ， 则 不 要 考虑 这 种 类 型 ， 应 当 使 用 租用 线 
路 ; 如 果 是 偶然 的 突 发 性 的 数据 传输 ， 那 么 包 交 换 可 以 满足 需要 。 帧 中 继 和 X.25 是 包 
交换 技术 ， 速 率 从 56kb/s 到 T3 (45Mb/s) 。 由 于 共享 物理 线路 ; 包 交换 连接 的 性 价 比 
较 高 ， 一 般 可 用 于 长 时 间 连 接 或 大 地 域 跨度 连接 ， 如 图 11-4 所 示 。 

同步 串 行 


包 交换 Su 


全 图 11-4 包 交 换 网 络 


11.1.3 ”通用 的 广域网 协议 


如 图 11-5 所 示 ，Cisco 支持 HDLC、PPP 和 帧 中 继 。 在 任何 串 行 接口 执行 encapsulation ? 
命令 可 以 证 实 这 一 点 〈 输 出 结果 根据 所 运行 IOS 版 本 的 不 同 而 不 同 )。 


RACconf ig)#interface Serial 1/@ 
RACconf ig—if YH#encapsulation ? 


atm-dxi ATM-DXI encapsulation 

bstun Block Serial tunneling 《BSTUN>» 
frame-relay Frame Relay networks 

hdalc Serial HDLC synchronous 

laph LAPB 《8%-25 Level 2> 

ppp Po int-to-Point protocol 

sdlc SDLC 


sdlc-primary SDLC 《primary> 
sdlc-secondary SDLC 《secondary》 


Smds Switched Megabit Data Service 《SMDS> 
stun Serial tunneling CSTUN> 
x25 X-25 


全 图 11-5 ”路 由 器 支持 的 广域网 封装 

如 果 路 由 器 上 有 其 他 类 型 的 接口 ,那么 可 以 封装 成 其 他 类 型 , 如 ISDN 或 ADSL。 记 住 ， 
不 能 在 串 行 接口 上 配置 以 太 网 或 令 牌 环 网 封装 。 

在 这 部 分 ， 我 们 将 定义 使 用 最 突出 的 广域网 协议 一 一 帧 中 继 、ISDN、LAPD、 HDLC、 
PPP、 PPPoE、Cable、DSL、MPLS 和 ATM。 但 目前 通常 在 串 行 接口 上 配置 的 广域网 协议 
只 有 HDLC、 PPP 和 帧 中 继 。 

当前 广大 网 民 访 问 Internet 使 用 最 多 的 接 入 方式 是 ADSL 接 入 ， 通 过 现 有 的 电话 线路 作 
为 Internet 的 接 入 线路 ， 使 用 的 协议 为 PPPoE。 

" ADSL 同时 支持 语音 和 数据 的 传输 ， 它 为 下 行 流 分 配 更 多 的 带宽 。 家 庭 用 户 通常 执行 

的 操作 (如 下 载 视 频 、 电 影 和 音乐 ， 在 线 游戏 ， 网 上 冲浪 和 查看 E-mail， 下 载 较 大 的 
附件 ) 都 需要 更 大 的 下 行 流 带宽 。ADSL 的 下 载 速度 在 256kb/s 一 8Mb/s 之 间 ， 但 上 传 
速度 只 能 达到 1Mb/s。 
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" ”PPPOE (以 太 网 上 的 点 到 点 协议 ) 和 ADSL 服务 一 起 使 用 , 它 将 PPP 帧 封装 成 以 太 帧 ， 
并 使 用 PPP 的 一 些 如 认证 、 封 装 和 压缩 等 常用 特征 。 但 如 前 所 述 ， 防 火 墙 配置 差 会 很 
麻烦 。 有 一 个 隧道 协议 可 以 将 卫 协议 和 其 他 协议 分 层 , 根据 PPP 链接 的 特性 运行 PPP 
协议 ， 从 而 连接 上 其 他 的 以 太 网 设备 并 初始 化 点 到 点 连接 来 传输 IP 包 。 


回国 ET 


Cisco 串 行 连接 几乎 支持 广域网 服务 的 任何 类 型 。 典 型 的 广域网 连接 是 使 用 HDLC、PPP 
和 帧 中 继 的 专线 ， 其 速度 可 高 达 45Mb/s〈(T3)。HDLC、PPP 和 帧 中 继 可 以 使 用 相同 的 物理 
层 规范 。 


11.2.1 HDLC 


HDLC， 高 级 数据 链 路 控制 协议 〈High-Level Data-Link Control Protocol) 是 流行 的 ISO 
标准 的 、 面 向 位 的 数据 链 路 层 协议 。 它 使 用 帧 特性 、 校 验 和 规定 数据 在 同步 串 行 数据 链 路 上 
的 封装 方法 。HDLC 是 一 种 用 于 租用 线路 的 点 到 点 协议 。 没 有 任何 认证 可 以 用 于 HDLC。 

在 面向 字 节 的 协议 中 ， 用 整个 字 节 对 控制 信息 进行 编码 ; 另 一 方面 ， 面 向 位 的 协议 可 能 
使 用 单个 位 代表 控制 信息 (面向 位 的 协议 包括 SDLC、LLC、HDLC、TCP、IP 等 )。 

HDLC 是 Cisco 路 由 器 在 同步 串 行 线路 上 的 默认 封装 方式 。Cisco 的 HDLC 是 专用 的 一 一 
不 能 和 其 他 厂商 的 HDLC 通信 。 但 是 不 要 为 此 抱怨 Cisco， 每 个 厂商 的 HDLC 都 是 专用 的 。 
图 11-6 显示 了 Cisco 的 HDLC 格式 。 

每 个 厂商 都 有 一 种 专用 的 HDLC 封装 方式 的 原因 是 ， 每 个 厂商 解决 HDLC 和 网 络 层 协议 
通信 时 采用 了 不 同 的 方法 。 如 果 厂 商 没有 办 法 解决 HDLC 和 不 同 的 第 3 层 协议 的 通信 问题 ， 
那么 HDLC 只 能 携带 一 种 协议 。 这 个 标识 协议 属性 的 报头 位 于 HDLC 封装 的 数据 字段 中 。 

如 果 你 只 有 一 台 Cisco 路 由 器 ， 需 要 连接 到 一 台 非 Cisco 的 路 由 器 (因为 男 一 台 Cisco 
路 由 器 正在 订购 中 ), 该 怎么 办 呢 ? 不 能 使 用 默认 的 HDLC 串 行 封装 , 因为 它 不 能 正常 运行 。 
你 应 当 使 用 像 PPP 这 样 的 能 识别 上 层 协议 的 ISO 标准 的 封装 方式 。 

Cisco HDLC 


标志 | 地 址 | 控制 | 专用 | 数据 | 帧 术 哈 序列 (Fcs》 
* 每 个 厂商 的 HDLC 都 有 一 个 专用 的 数据 字段 以 支持 协议 环境 

HDLC 
标志 | 地 址 | 控制 | 数据 | 帧 校 蛤 序列 (Fcs》 | 标志 
*# 只 支持 一 个 协议 环境 


标志 


全 图 11-6 HDLC 格式 


391 


英 产 


计算 机 网 络 


392 


配置 广域网 接口 使 用 HDLC 封装 


打开 随 书 光盘 中 第 11 章 练习 “01 配置 广域网 接口 使 用 HDLC 封装 .pkt”， 网 络 拓扑 如 
图 11-7 所 示 。RouterA 和 RouterB 之 间 使 用 串口 连接 ， 你 需要 配置 广域网 链 路 使 用 HDLC 


172. 16. 1. 0724 


一 去 
E32 1 下 
ri Se3/0 
Router-PT 
Router-PT ©3e2/0 HDLC RouterB 
RouterA 


全 图 11-7 配置 HDLC 封装 


(1) 配置 RouterA 广域网 接口 Serial 2/0 使 用 HDLC 封装 。 


RouterRA>en 

RouterA#config 七 

RouteRA (config) #interface Serial 2/0 

RouterRA (config-if) #clock rate 64000 

RouterR (config-if) #no sh 

RouterRA (config-if) #ip address 172.16.1.1 255.255.255.0 

RouterR (config-if) #encapsulation ? -查看 广域网 接口 支持 的 封装 类 型 


frame-relay Frame Relay networks 


hdlc Serial HDLC synchronous 
PPP Point-to-Point Protocol 
RouterR (config-if) #encapsulation hdlc =-- 配 置 接口 使 用 HDLC 封装 


真正 的 路 由 器 支持 广域网 封装 类 型 的 很 多 , 但 Packet Tracer 模拟 的 路 由 器 只 支持 这 
三 种 。 


(2) 在 RouterB 广域网 接口 Serial 3/0 使 用 HDLC 封装 。 


RouterB (config) # 

RouterB (config) #interface Serial 3/0 

RouterB (config-if) #ip address 172.16.1.2 255.255.255.0 

RouterB (config-if) #encapsulation hdlc 

RouterB (config-if) #no shutdown 

RouterB (config-if) #exit 

RouterB (config) #exit 

RouterB#show interfaces Serial 3/0 

Serial3/0 is up,line protocol is up (connected) 
Hardware is HD64570 


Internet address is 172.16.1.2/24 
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MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec 
reliability 255/255,txload 1/255,rxload 1/255 
Encapsulation HDLC,1loopback not set,keepalive set (10 sec) 
其 中 ， 第 一 个 up 代表 物理 接口 up， 第 二 个 up 代表 数据 链 路 层 up。 如 果 广 域 网 接 
口 两 端 封装 不 一 致 ， 则 会 出 现 Serial3/0 is up,line protocol is down (connected)。 可 
以 看 到 封装 类 型 为 HDLC。 


11.2.2 点 到 点 PPP 


PPP (Point-To-Point Protocol, 点 到 点 协议 ) 可 以 用 于 异步 串 行 (拨号 ) 或 同步 串 行 (ISDN) 
介质 。 它 使 用 LCP〈Link Control Protocol， 链 路 控制 协议 ) 建立 并 维护 数据 链 路 连接 。NCP 
(Network Control Protocol， 网 络 控制 协议 ) 允许 在 点 到 点 连接 上 使 用 多 种 网 络 层 协议 〈 被 
动 路 由 协议 )， 如 图 11-8 所 示 。 
既然 HDLC 是 Cisco 串 行 链 路 上 默认 的 串 行 封 装 协议 ， 并 且 HDLC 的 性 能 非常 好 ， 那 
么 什么 时 候 使 用 PPP 呢 ? PPP 的 基本 目标 是 在 数据 链 路 层 点 到 点 链 路 上 传输 第 3 层 包 。 它 不 
是 一 个 专用 协议 ， 这 意味 着 如 果 你 的 路 由 器 并 不 都 是 Cisco 的 ， 在 串 行 接口 上 就 需要 封装 
PPP， 由 于 HDLC 是 Cisco 专用 协议 ， 所 以 封装 HDLC 后 不 会 正确 运行 。 另 外 ， 既 然 PPP 可 
以 封装 多 种 第 3 层 被 动 路 由 协议 ， 并 且 提 供认 证 、 动 态 寻 址 以 及 回 叫 功能 ， 那 么 这 些 都 是 放 
弃 HDLC 而 选择 PPP 作为 封装 方案 的 理由 。 


0SI 层 


3 上 层 协议 
(如 IP、IPX、AppleTalk) 


网 络 控制 协议 (NCP) 


《针对 每 一 个 网 络 层 协议 》 
2 链 路 控制 协议 〈LCP) 
高 级 数据 链 路 控制 协议 (HDLC) 


物理 层 
1 |( 如 BEIAMTIA-232-C、V24、V35 ISDN) 


全 图 11-8 PPP 协议 层次 

PPP 包含 的 4 个 主要 组 件 如 下 。 

" ”EIA/TIA-232-C、V.24、V.35 和 ISDN 串 行 通信 的 物理 层 国际 标准 。 

"在 串 行 链 路 上 封装 数据 包 的 方法 一 一 HDLC。 

" 建立、 配置 、 维 护 和 结束 点 到 点 连接 的 方法 一 一 LCP。 

" ”建立 和 配置 不 同 网 络 层 协议 的 方法 一 一 NCP。NCP 设计 允许 同时 使 用 多 个 网 络 层 协议 。 
例如 有 些 协议 是 IPCP (Internet Protocol Control Protocol， 因 特 网 协议 控制 协议 ) 和 
IPXCP (Intemetwork Packet Exchange Control Protocol， 互 联网 络 包 交 换 控制 协议 ) 。 
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理解 PPP 协议 栈 只 是 物理 层 和 数据 链 路 层 的 规范 非常 重要 。NCP 通过 对 PPP 数据 链 路 
上 的 协议 进行 封装 来 允许 在 多 种 网 络 层 协议 之 间 实 现 通信 。 


如 果 当 一 台 Cisco 路 由 器 和 一 台 非 Cisco 路 由 器 通过 串 行 连 接 在 一 起 ， 必 须 配 置 


PPP 或 另 一 种 封装 方法 ， 像 帧 中 继 ， 因 为 默认 的 HDLC 不 能 工作 ! 


下 面 将 讨论 LCP 和 PPP 会 话 的 建立 。 

1) LCP 的 配置 选项 

LCP 提供 各 种 PPP 封装 选项 ， 包 括 如 下 内 容 。 

" ”Authentication( 认 证 ) : 该 选项 告诉 链 路 的 呼叫 方 发 送 可 以 确定 其 用 户 身份 的 信息 。 
两 种 方法 是 PAP (Password Authentication Protcol, 密码 认证 协议 ) 和 CHAP (Challenge 
Handshke Authentication， 问 答 握手 认证 协议 ) 。 

" ”Compression (压缩 ) : 该 选项 用 于 通过 传输 之 前 压缩 数据 或 负载 来 增加 PPP 连接 的 吞 
吐 量 。PPP 在 接收 端 解压 数据 帧 。 

”Error Detection 〈 错 误 检 测 ) : PPP 使 用 Quality (质量 ) 和 Magic Number (魔术 号 码 ) 
选项 确保 可 靠 的 、 无 环 路 的 数据 链 路 。 

"Multilink (多 链 路 ) : 从 IOS 11.1 版 本 开始 ，Cisco 路 由 器 在 PPP 链 路 上 支持 多 条 链 路 
选项 。 该 选项 允许 几 条 不 同 的 物理 路 径 在 第 3 层 表现 为 一 条 逻辑 路 径 。 例如 ,运行 PPP 
多 链 路 的 两 条 T1 线路 在 第 3 层 路 由 协议 中 以 一 条 3Mb/s 路 径 的 形式 出 现 。 

" ”PPP callback (PPP 回 叫 ) : PPP 可 以 配置 为 认证 成 功 后 进行 回 叫 。PPP 回 叫 对 于 账户 
记录 或 各 种 其 他 原因 是 一 个 很 好 的 功能 ， 因 为 可 以 根据 访问 费用 跟踪 使 用 情况 。 启 动 
回 叫 后 ， 呼 叫 路 由 器 (客户 端 ) 将 和 远程 路 由 器 (服务 器 端 取得 联系 ， 并 像 前 面 描 
述 的 那样 进行 认证 。 两 台 路 由 器 必须 都 配置 回 叫 。 一 旦 完成 认证 ， 远 程 路 由 器 将 中 断 
连接 ， 并 从 远程 路 由 器 重新 初始 化 到 呼叫 路 由 器 的 连接 。 


说 如 果 在 PPP 回 叫 中 使 用 的 是 Microsoft 设备 ， 要 意识 到 Microsoft 可 能 使 用 它 专 


和 汪 用 的 回 叫 功能 ， 即 微软 回 叫 控制 协议 (Microsoft Callback Control Protocol， 
MCCP )， 并 且 IOS 11.3 以 上 版 本 是 支持 这 种 回 叫 协议 的 。 


2) PPP 会 话 的 建立 

当 PPP 连接 开始 时 ， 链 路 经 过 以 下 3 个 会 话 建立 阶段 。 

" ， 链 路 建立 阶段 : 每 台 PPP 设备 发 送 LCP 包 来 配置 和 测试 链 路 。LCP 包 包括 一 个 叫 “ 配 
置 选项 ”的 字段 ， 允 许 每 台 设 备查 看 数据 的 大 小 、 压 缩 和 认证 。 如 果 没 有 设置 “配置 
选项 ”字段 ， 则 使 用 默认 配置 。 

" ”认证 阶段 : 如 果 配 置 了 认证 ， 在 认证 链 路 时 可 以 使 用 CHAP 或 PAP。 认 证 发 生 在 读 取 
网 络 层 协议 信息 之 前 ， 同 时 可 能 发 生 链 路 质量 决策 。 

" ”网 络 层 协议 阶段 : PPP 使 用 NCP 协议 ， 允 许 封装 成 多 种 网 络 层 协议 并 在 PPP 数据 链 路 
上 发 送 。 每 个 网 络 层 协议 〈 例 如 IP、IPX、AppleTalk 这 些 被 动 路 由 协议 ) 都 建立 和 NCP 
的 服务 关系 。 
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3) PPP 认证 方法 
PPP 链 路 可 以 使 用 以 下 两 种 认证 方法 。 
" ”PAP: PAP 是 两 种 方法 中 安全 程度 较 低 的 一 种 。 口 令 以 明文 发 送 ， 并 且 PAP 只 在 初始 
链 路 建立 时 执行 。 在 PPP 链 路 首次 建立 时 ， 远 程 结 点 向 发 送 路 由 器 回 送 路 由 器 用 户 名 
和 口令 ， 直 到 获得 认证 。 
" ”CHAP: CHAP 用 于 链 路 初始 启动 ， 并 且 为 了 证 实 路 由 器 连接 的 仍然 是 同一 台 主 机 ， 要 
进行 周期 性 的 链 路 检查 。 
PPP 结束 了 初始 阶段 后 ， 本 地 路 由 器 向 远程 设备 发 送 一 个 盘问 请 求 。 远 程 设备 发 送 一 个 
用 叫做 MDS5 的 单方 向 散 列 函数 计算 出 来 的 值 。 本 地 路 由 器 要 检查 此 散 列 值 ， 确 定 它 是 否 匹 
配 。 如 果 这 个 值 不 匹配 ， 该 链 路 立即 结束 。 


配置 广域网 接口 使 用 PPP 封装 


打开 随 书 光盘 中 第 11 章 练习 “02 配置 广域网 接口 使 用 PPP 封装 .pkt”， 网 络 拓扑 如 图 
11-9 所 示 。 你 需要 配置 RouterA 和 RouterB 之 间 的 连接 使 用 PPP 封装 ， 共 享 密 钥 为 Todd， 
配置 RouterB 和 RouterC 之 间 的 连接 使 用 PPP 封 装 , 共享 密 钥 为 Cisco,PPP 认证 方法 为 CHAP， 
并 且 诊 断 PPP 认证 的 过 程 。 


PPP 封 装 
共享 密 钥 cisco 


FPP 封装 
共享 密 钥 Todd 2 i ~ 二 
ca ! ef Se3/0 
rs Se3/0 Ro pT se2/0 Router-PT 
outer- RouterC 
Router-pT Ose2/0 RouterB TREE 到 Route 


RouterA 172. 16.1.0724 


Routerh (confie)#username RouterB password Todd RouterC (confie)#username RouterC password Cisco 
RouterA (confie)#interface serial 2/0 RouterC (confie)#interface serial 3/0 

Routerh (confie-if)#encapsulation ppp RouterC (confie-if)#encapsulation ppp 

Routerh (confie-if)#ppp authentication chap RouterC (confie-if)#ppp authentication chap 


RouterB (confie)#username RouterA password Todd 
RouterB (config)#interface serial 3/0 

RouterB (confie-if)#encapsulation ppp 

RouterB (confie-if)#ppp authentication chap 


RouterB (config)#username RouterC password Cisco 
RouterB (confie)#interface serial 2/0 

RouterB (confie-if)#encapsulation ppp 

RouterB (confie-if)#ppp authentication chap 


A 图 11-9 配置 PPP 封装 
(1) 在 RouterA 上 配置 和 RouterB 连接 的 PPP 封装 和 共享 密 钥 。 
RouterRA (config) #interface Serial 2/0 
RouterRA (config-if) #clock rate 64000 
RouterA (config-if) #ip address 172.16.1.1 255.255.255.0 
RouterA (config-if) #no sh 
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RouterR (config-if) #encapsulation ppp =-- 配 置 使 用 PPP 封装 
RouterR (config-if) #ppp _ authentication ?  -- 查 看 支持 的 认证 方法 
chap Challenge Handshake Authentication Protocol <CHAP> 

Pap Password Authentication Protocol <PAP> 
RouterA (config-if) #ppp authentication chap 
RouterA (config-if) #ex 
RouterA (config) #username RouterB password Todd 
=-- 配 置 和 RouterB 路 由 器 的 共享 密 钥 
(2) 在 RouterB 上 查看 串口 默认 的 数据 封装 类 型 和 接口 状态 。 
RouterB (config) #interface Serial 3/0 
RouterB (config-if) #ip address 172.16.1.2 255.255.255.0 
RouterB (config-if) #no sh 
RouterB (config-if) #^2 
RouterB #show interfaces Serial 3/0 
Serial3/0 is up,line protocol is down (disabled) 
=-- 协 议 down， 两 端 封装 不 一 臻 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec， 
reliability 255/255, txload 1/255,rxload 1/255 
Encapsulation HDLC, loopback not set,keepalive set (10 sec) 
一 -默认 为 HDLC 封装 
(3) 在 RouterB 上 配置 和 RouterA 连接 的 封装 类 型 为 PPP。 
RouterB (config) #interface Serial 3/0 


RouterB (config-if) #encapsulation ppp -- 配 置 为 PPP 封装 


回 


到 特权 模式 


RouterB (config-if) #^2 =-- 按 Ctrl + C 组 合 键 ， 退 
(4) 在 RouterB 上 查看 和 RouterA 连接 PPP 协议 的 状态 。 


RouterB#show interfaces Serial 3/0 


Serial3/0 is up,line protocol is down (disabled) 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec， 
reliability 255/255,txload 1/255,rxload 1/255 
Encapsulation PPP,loopback not set,keepalive set (10 sec) --PPP 封装 
LCP Closed 一 - 链 路 控制 协议 关闭 ， 没 有 配置 和 RouterA 的 共享 密码 


Closed: LEXCP,BRIDGECP, IPCP, CCP, CDPCP, LLC2,BACP  -- 网 络 层 协议 均 关闭 
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(5) 在 RouterB 上 配置 和 RouterA 的 共享 密码 。 
RouterB (config) #username RouterR password Todd 
-- 配 置 和 RouterR 的 共享 密码 
%LINEPROTO-5-UPDOWN: Line Protocol on Interface Serial3/0,changed state 
to up 接口 状态 变 为 up 
(6) 在 RouterB 上 查看 和 RouterA 连接 的 端口 状态 。 
RouterB#show interfaces Serial 3/0 
Serial 3/0 is up,line protocol is up (connected) -- 数 据 链 路 层 up 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec， 
reliability 255/255,txload 1/255,rxload 1/255 
Encapsulation PPP,loopback not set,keepalive set (10 sec) 
LCP Open =-- 链 路 控制 协议 打开 
Open: IPCP,CDPCP -支持 的 网 络 层 协议 打开 
(7) 在 RouterB 上 配置 和 RouterC 共享 的 密码 和 封装 类 型 。 
RouterB (config) #interface Serial 2/0 
RouterB (config-if) #clock rate 64000 
RouterB (config-if) #no sh 
RouterB (config-if) #ip address 172.16.2.1 255.255.255.0 
RouterB (config-if) #encapsulation PPP 
RouterB (config-if) #ppp authentication chap 
RouterB (config-if) #ex 
RouterB (config) #username RouterC password Cisco 
(8) 在 RouterC 上 配置 和 RouterB 的 共享 密码 和 封装 类 型 。 
RouterC (config) #interface Serial 3/0 
RouterC (config-if) #ip address 172.16.2.2 255.255.255.0 
RouterC (config-if) #no sh 
RouterC (config-if) #encapsulation PPP 
RouterC (config-if) #ppp _ authentication chap 
RouterC (config-if) #ex 
RouterC (config) #username RouterB password Cisco 
(9) 在 RouterA 上 诊断 PPP 认证 。 
RouterA#debug ppp authentication 
RouterA#config t 


RouterA (config) #interface Serial 2/0 
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RouterR (config-if) #shutdown -- 禁 用 接口 

RouterR (config-if) #no shutdown 一 -启用 接口 ， 可 以 看 到 PPP 验证 的 过 程 
%LINK-5-CHANGED: Interface Serial 2/0,changed state to up 

Serial 2/0 IPCP: I CONFREQ [Closed] id 1 len 10 

Serial 2/0 IPCP: O CONFACK [Closed] id 1 len 10 

Serial 2/0 IPCP: I CONFREQ [REQsent] id 1 len 10 

Serial 2/0 IPCP: O CONFACK [REQsent] id 1 len 10 


11.2.3 ” 帧 中 继 


帧 中 继 已 成 为 近 几 十 年 广域网 服务 最 流行 的 技术 之 一 。 它 有 很 多 受 欢迎 的 原因 ,但 主要 
是 由 于 费用 较 低 。 帧 中 继 比 其 他 技术 更 节省 费用 ， 这 是 网 络 设计 不 可 忽略 的 因素 。 


1. 帧 中 继 简介 


帧 中 继 默 认 情况 下 属于 非 广播 多 路 访问 (None Broadcast MultiAccess ，NBMA) 网 
络 ， 意 思 是 默认 情况 下 不 在 网 络 上 发 送 像 RIP 更 新 这 样 的 广播 包 。 将 在 后 面 进一步 讨论 
这 个 特性 。 

帧 中 继 是 从 X.25 技术 发 展 来 的 。 考 虑 到 目前 可 靠 性 和 比较 “清洁 ”的 电信 网 络 ， 帧 中 
继 本 质 上 和 X.25 的 功能 是 不 相 容 的 ， 忽 略 了 不 再 需要 的 纠 错 功能 。 它 和 在 HDLC 和 PPP 协 
议 中 学 到 的 简单 租用 线路 网 络 相 比 显得 非常 复杂 。 这 些 租 用 线路 是 易于 构建 的 ， 帧 中 继 却 不 
是 。 它 可 能 非常 复杂 和 多 变 ， 这 就 是 为 什么 在 网 络 图 形 中 经 常用 “网 云 ” 代 表 它 的 原因 。 后 
面 将 会 介绍 它 。 这 里 将 从 概念 上 介绍 帧 中 继 ， 并 介绍 如 何 区 别 它 和 简单 的 租用 线路 技术 。 

在 CCNA 考试 中 ， 要 求 你 理解 帧 中 继 技 术 的 基本 原理 ， 并 能 够 在 简单 的 场景 中 进行 配 
置 。 首 先 理解 帧 中 继 是 包 交换 技术 。 从 目前 学 到 的 知识 来 看 ， 只 告诉 你 这 一 点 应 当 使 你 想起 
和 包 交 换 有 关 的 几 件 事情 。 

" ”不 能 使 用 encapsulation hdlc 或 encapsulation ppp 命令 进行 配置 。 

" ， 帧 中 继 和 点 到 点 租用 线路 不 一 样 〈 尽 管 可 以 做 到 ， 看 起 来 像 租 用 线路 ) 。 

" ， 帧 中 继 在 许多 情况 下 没有 租用 线路 昂贵 ， 但 是 为 了 节省 费用 会 有 些 损失 。 

1) 数据 链 路 连接 标识 符 

帧 中 继 PVC 使 用 数据 链 路 连接 标识 符 (Data Link Connection Identity, DLCI) 标识 DTE 
设备 。 帧 中 继 服 务 提 供 商 分 配 DLCI 值 ， 帧 中 继 用 DLCI 值 区 分 网 络 上 的 不 同 虚 电 路 。 因 为 
在 一 个 多 点 帧 中 继 接口 上 可 以 有 多 个 虚 电 路 ， 所 以 这 种 接口 可 以 有 多 个 DLCI。 

2) 虚 电 路 

帧 中 继 使 用 虚 电 路 工作 方式 ， 所 谓 “ 虚 ”是 相对 于 租用 线路 使 用 的 真正 电路 而 言 的 。 这 
些 虚 电 路 是 由 连接 到 提供 商 “网 云 ” 上 的 几 千 台 设备 构成 的 链 路 。 帧 中 继 为 两 台 DTE 设备 
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之 间 建 立 的 虚 电 路 ， 使 它们 就 像 通 过 一 条 电路 连接 起 来 一 样 ， 实 际 上 是 将 帧 放 入 一 个 很 大 的 
共享 设施 中 。 因 为 有 了 虚 电路 ， 你 永远 都 不 会 看 到 “网 云 ” 内 部 所 发 生 的 复杂 操作 。 

有 两 种 虚 电 路 一 一 永久 虚 电 路 和 交换 虚 电 路 。 

永久 虚 电路 〈Permanent Virtual Circuits，PVC) 是 目前 最 常用 的 类 型 。 永 久 的 意思 是 电 
信 公 司 在 内 部 创建 映射 ,并且 只 要 你 付费 ， 虚 电路 就 一 直 有 效 。 

交换 虚 电 路 (Switch Virtual Circuits，SVC) 更 像 电话 呼叫 。 当 数据 需要 传输 时 ， 建 立 虚 
电路 ， 数据 传输 完成 后 ， 拆 除 虚 电路 。 

3) 子 接口 
正如 前 面 讲 过 的 ,可 能 在 一 个 串 行 接口 上 有 多 条 虚 电 路 ,并且 将 每 条 虚 电 路 视 为 一 个 单 
独 的 接口 ， 它 被 认为 是 子 接口 。 可 以 将 子 接口 想象 为 一 个 由 IOS 软件 定义 的 逻辑 接口 。 多 个 
子 接口 将 共享 一 个 物理 硬件 接口 ,但 为 了 配置 ， 把 它们 想象 为 单独 的 物理 接口 〈 称 为 复 用 )。 

若 想 将 帧 中 继 网 络 中 的 路 由 器 配置 为 避免 水 平分 割 阻止 路 由 更 新 ， 可 以 为 每 条 PVC 配 
置 多 个 子 接口 ， 并 且 为 每 个 子 接口 分 配 唯一 的 DLCI 和 子 网 地 址 。 

可 以 用 interface Sel/0.1 这 样 的 命令 定义 子 接口 。 首 先 必 须 在 物理 串 行 接口 上 设置 封装 
类 型 ， 然 后 定义 子 接口 。 一 般 一 个 子 接口 定义 一 条 PVC。 

点 到 点 : 当 一 条 虚 电 路 连接 一 台 路 由 器 到 另 一 个 路 由 时 ， 使 用 点 到 点 子 接口 。 每 个 点 到 
点 子 接口 需要 自己 的 子 网 。 

多 点 : 当 路 由 器 位 于 星 状 虚 电路 的 中 心 时 ， 使 用 多 点 子 接口 。 所 有 连接 到 帧 中 继 交 换 机 
上 的 路 由 器 接口 都 使 用 同一 个 子 网 。 


2. 帧 中 继 配置 实例 


下 面 通过 Packet Tracer 软件 搭建 帧 中 继 实验 环境 , 为 大 家 介绍 使 用 帧 中 继 连接 多 个 局 域 
网 、 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封 装 ， 以 及 如 何在 一 个 路 由 器 的 物理 接口 配置 子 接口 
支持 多 条 虚拟 电路 的 过 程 。 

打开 随 书 光盘 中 第 11 章 练习 “03 帧 中 继 配 置 实例 .pkt”， 网 络 拓扑 如 图 11-10 所 示 。 某 
公司 的 总 公司 在 北京 ， 石 家 庄 和 天 津 有 分 公司 ， 使 用 帧 中 继 网 络 将 3 个 城市 的 网 络 连接 。 现 
在 需要 你 配置 这 些 路 由 器 和 帧 中 继 实 现 以 下 功能 。 

”配置 图 11-9 中 的 3 个 路 由 器 使 用 帧 中 继 连接 。 

" ”逻辑 上 实现 北京 、 石 家 庄 和 天 津 3 个 路 由 器 全 互联 。 

" ”配置 网 络 中 的 路 由 器 使 用 EIGRP 协议 学 习 到 各 个 网 络 的 路 由 。 

"验证 广域网 配置 。 

1) 物理 连接 拓扑 

物理 连接 拓扑 如 图 11-10 所 示 。 
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全 图 11-10 帧 中 继 实验 物理 拓扑 
通过 将 连接 帧 中 继 网 络 的 路 由 器 的 串口 配置 为 多 个 子 接口 ， 实 现 北京 、 石 家 庄 和 天 津 3 
个 局 域 网 全 互联 。 
2) 等 价 的 逻辑 连接 
等 价 的 逻辑 拓扑 如 图 11-11 所 示 。 


北京 


172. 18.0.0/16 


A 192.168.2.1/24 2g 

PC-PT ,2 lL a 
Po Rdqutero 192. 168. 2. 2/24 

172. 16.0.0/16 


SwitchO 


石家庄 


人 图 11-11 眉 中 继 馆 辑 拓扑 
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3) 配置 步骤 
(1) 在 Router0 上 ， 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封 装 ， 并 且 配 置 子 接口 和 对 应 
的 帧 中 继 DLCI， 以 及 EIGRP 动态 路 由 协议 。 
Router (config) #hostname Router0 
Router0 (config) #interface Serial 0/1/0 
Router0 (config-if) #encapsulation frame-relay 
-- 在 物理 接口 配置 封装 帧 中 继 
Router0 (config-if) #no sh =- 启用 物理 接口 ， 不 要 配置 IP 地 址 
Router0 (config-if) #ex 
Router0 (config) #interface Serial 0/1/0.1 ? -- 进 入 子 接口 
multipoint Treat as a multipoint link 
point-to-point Treat as a point-to-point link 
<cr> 
Router0 (config) #interface Serial 0/1/0.1 point-to-point 
=-- 配 置 罗 辑 子 接口 ， 点 到 点 封装 
SLINK-5-CHANGED: Interface Serial0/1/0.1, changed state to up 
$%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1/0.1, changed 
state to up 
Router0 (config-subif) #ip address 192.168.3.2 255.255.255.0 
-配置 子 接口 IP 地 址 
Router0 (config-subif) #description Link Router0 DLCI 20 
=-- 配 置 描述 ， 可 选 的 配置 
Router0 (config-subif) #frame-relay interface-dlci 20 
=-- 数 据 链 路 连接 标识 符 
Router0 (config-subif) #ex 
Router0 (config) #interface serial 0/1/0.2 point-to-point 
Router0 (config-subif) #ip address 192.168.2.2 255.255.255.0 
Router0 (config-subif) #frame-relay interface-dlci 21 
Router0 (config-subif) #exi 
Router0 (config) #router eigrp 10 -= 配置 路 由 协议 
Router0 (config-router) #network 172.16.0.0 
Router0 (config-router) #network 192.168.3.0 
Router0 (config-router) #network 192.168.2.0 
(2) 在 Routerl 上 ， 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封装 ， 并 且 配 置 子 接口 和 对 应 
的 帧 中 继 DLCI， 以 及 EIGRP 动态 路 由 协议 。 
Router (config) #hostname Router1l 
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Router1l (config) #interface Serial 0/1/0 

Router1l (config-if) #encapsulation frame-relay 

Router1 (config-if) #no sh 

Router1 (config-if) #exit 

Router1l (config) #interface serial 0/1/0.1 point-to-point 

Router1l (config-subif) #ip address 192.168.1.2 255.255.255.0 

Router1l (config-subif) #frame-relay interface-dlci 30 

Router1 (config-subif) #ex 

Routerl1 (config) #interface serial 0/1/0.2 point-to-point 

Router1l (config-subif) #ip address 192.168.2.1 255.255.255.0 

Router1l (config-subif) #frame-relay interface-dlci 31 

Router1 (config-subif) #ex 

Router1l (config) #router eigrp 10 

Router1l (config-router) #network 172.17.0.0 

Router1l (config-router) #network 192.168.2.0 

Router1l (config-router) #network 192.168.1.0 

(3) 在 Router2 上 ， 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封 装 ， 并 且 配 置 子 接口 和 对 应 

的 帧 中 继 DLCI， 以 及 EIGRP 动态 路 由 协议 。 


Router (config) #hostname Router2 


Router2 (config) #interface Serial 0/1/0 
Router2 (config-if) #no sh 
Router2 (config-if) #encapsulation frame-relay 
Router2 (config-if) #ex 
Router2 (config) #interface serial 0/1/0.1 point-to-point 
Router2 (config-subif) #ip address 192.168.1.1 255.255.255.0 
Router2 (config-subif) #frame-relay interface-dlci 40 
Router2 (config-subif) #exi 
Router2 (config) #interface serial 0/1/0.2 point-to-point 
Router2 (config-subif) #ip address 192.168.3.1 255.255.255.0 
Router2 (config-subif) #frame-relay interface-dlci 41 
Router2 (config-subif) #ex 
Router2 (config) #router eigrp 10 
Router2 (config-router) #network 172.18.0.0 
Router2 (config-router) #network 192.168.3.0 
Router2 (config-router) #network 192.168.1.0 

(4) 如 图 11-12 所 示 ， 配 置 帧 中 继 接口 的 DLCI。 选 中 Serial0，DLCI 输 入 20，Name 
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输入 to R2 41， 单 击 Add 按钮 ，DLCI 输入 21，Name 输入 to R1 31， 单 击 Add 


按钮 。 


GLOBAL 
= Frame Relay: Serial0 
Se | jort sous on 
= LME Cisco ~ 
Cable 
DLcr Name 
好 
DLCI Name 
20 to_R2_41 
21 to_R1_31 


全 图 11-12 配置 帧 中 继 接 口 Serial0 的 DLCI 


(5) 如 图 11-13 所 示 ， 配 置 帧 中 继 接 口 的 DLCI， 选 中 Seriall 。DLCI 输入 30，Name 
输入 to R2 40， 单 击 Add 按钮 ，DLCI 输入 31，Name 输入 to_R0 21， 单 击 Add 


按钮 。 


Frame Relay: Seriall 


Port Status 园 on 
LMI Cisco ~ 
DLcI 31 Name to_RO_21 

[Eden 
DLcI Name 
30 to_R2_40 
31 to_RO_21 


全 图 11-13 配置 帧 中 继 接口 Seriall 的 DLCI 


(6) 如 图 11-14 所 示 ， 配 置 帧 中 继 接口 的 DLCI， 选 中 Serial2。DLCI 输入 40，Name 
输入 to R1 30， 单 击 Add 按钮 ， DLCI 输入 41，Name 输入 to RO 20， 单 击 Add 


按钮 。 
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一 Frame Relay: Serial2 


port Status 园 on 


ur Gee | 


Gass | oa 411 Name to_RO_20 


Add Remove 


Nodems DLcI Name 
Modem5 40 to_R1_30 
(een | “1 to_RO_20 


全 图 11-14 配置 帧 中 继 接口 Serial2 的 DLCI 


(7) 如 图 11-15 所 示 , 配置 帧 中 继 永 久 虚 电路 。 选 中 Serial0 接口 的 to_R1_31 和 Seriall 
接口 的 to_R0_21, 单 击 Add 按钮 ， 这 就 意味 着 从 这 两 个 接口 建立 了 一 条 永久 虚 电 
路 ; 选中 Serial0 接口 的 to_R2 41 和 Serial2 接口 的 to_R0_20， 单 击 Add 按钮 ， 选 
中 Seriall 接口 的 to_R2 40 和 Serial2 接口 的 to_R1 30， 单 击 Add 按钮 。 


_physical | Config 
Soaac ~ 
Sethngs Frame Relay 

GN Seriall [teR240 -| <> [Seriaz [to-Ri30 ~ 
一 一 Port Sublink Port Sublink 


Cable From port Sublink To Port Sublink 
ANTERFACE. serialo to_R1_31 Seriall to_RO_21 
eta Serialo to_R2_41 Serial2 to_RO_20 
Serial. Seriall to_R2_40 Serial2 to_R1_30 


1 


全 图 11-15 配置 帧 中 继 电 路 交换 
(8) 在 Router0 上 验证 帧 中 继 配置 。 


Router0#show ip route 

Codes: C - connected,S - static,I - IGRP,R - RIP,M - mobile,B - BGP 
D - EIGRP, EX - EIGRP external,O - OSPF,IA - OSPF inter area 
N1 - OSPF NSSA external type 1,N2 - OSPF NSSA external type 2 


El - OSPF external type 1,E2 - OSPF external type 2,E - EGP 
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i - IS-IS,L1 - IS-IS level-1,L2 - IS-IS level-2,ia - IS-IS inter area 
* - candidate default,U - Per-user static route,o - ODR 
P - periodic downloaded static route 
Gateway of last resort is not set 
[ey 172.16.0.0/16 is directly connected, fastEthernet0/0 
D 172.17.0.0/16 [90/2172416] via 192.168.2.1, 00:00:03, Serial0/1/0.2 
D 172.18.0.0/16 [90/2172416] via 192.168.3.1, 00:05:13, Serial0/1/0.1 
D 192.168.1.0/24 [90/2681856] via 192.168.2.1, 00:13:02, Serial0/1/0.2 
[90/2681856] via 192.168.3.1, 00:07:30, Serial0/1/0.1 
LE 192.168.2.0/24 is directly connected, Serial0/1/0.2 
Lo 192.168.3.0/24 is directly connected, Serial0/1/0.1 
可 以 看 到 Router0 已 经 学 到 了 到 达 北 京 和 天 津 网 络 的 路 由 ， 说 明 帧 中 继 配 置 成 功 。 
说 名 实话 ， 一 般 企业 的 网 络 管理 员 很 少 有 机 会 配置 帧 中 继 网 络 ， 而 更 多 的 是 配置 路 由 器 
的 广域网 接口 使 用 帧 中 继 封装 ， 然 后 配置 子 接口 以 及 所 对 应 帧 中 继 的 DLCI。 
3. 将 路 由 器 配置 为 帧 中 继 交 换 机 


本 实验 会 将 路 由 器 降级 成 为 帧 中 继 交 换 机 ， 在 帧 中 继 交 换 机 上 配置 两 条 永久 虚 电路 ， 能 
够 使 得 路 由 器 RA 和 路 由 器 RB 相当 于 点 到 点 的 两 个 逻辑 链 路 连接 。 各 个 子 接口 的 IP 地 址 和 
DLCI 如 图 11-16 所 示 ， 你 需要 配置 路 由 器 RB 实现 两 个 逻辑 链 路 数据 帧 的 转发 。 

通过 本 实验 你 将 很 好 地 理解 在 帧 中 继 中 配置 永久 虚 电 路 的 过 程 。 


物理 链 路 Se2/1 


Se2/1 


Se2/0 


RC 
RA 
逻辑 链 路 
10.0.0.1/24 2 10.0.0.2/24 
Se2/0.1 DLCI 20 ~、 DLCI 21 Se2/1.1 
Se2/0.2 DLCI 30 “~ Dici 31 se271-2 
RA 10.011124 10.0.1.2/24 RC 


A 图 11-16 帧 中 继 实验 环境 
操作 步骤 如 下 。 


(1) 在 路 由 器 RA 上 ， 配 置 广域网 接口 使 用 帧 中 继 封 装 ， 配 置 子 接口 的 IP 地 址 以 及 对 
应 的 DLCI。 配 置 过 程 如 图 11-17 所 示 。 
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Router> 
Routeryen 

Routericonfig t 
RouterCconf ig)#hostnane RA 


RACconf ig)tinterface serial 2 人 0 
RACconf ig-if )iino sh 物理 端口 配置 帧 中 继 封 装 
RhKconfig-if?#encapsulation frane-relay 一 - 物理 接口 不 要 配置 IP 地 址 
RACconf ig-if >#exi 

RhKconfiq?#iinterface serial 2/8.1 point-to-point 进入 子 接口 
RACconf ig-subif J#ip address 19-B-B-1 255-255.255.9 
RhKconfig-supbif)#frame-relay interface-dlci 28 一 一 指定 DLCI 编 号 
RACconf ig-fr-dlci)iex 


RACconf ig—subif >#exi 


RhKconfig?#interface serial 2/0.2 point-to-point 进入 子 接口 
RACconf ig-subif J#ip address 19.9.1.1 255.255.255.@ 
RhKconfig-subif?#frame-relay interface-dlci 38 一 一 指定 DLCI 编 号 
RACconf ig-fr-dlci)tex 


A 图 11-17 在 路 由 器 RA 上 配置 帧 中 继 子 接口 


(2) 在 路 由 器 RB 上 ， 将 其 配置 为 帧 中 继 交 换 机 ， 并 在 接口 上 配置 帧 中 继 封 装 以 及 永 


路 


久 虚 电路 ， 如 图 11-18 所 示 。 


RouterYen 
Routeriiconfig ¢ 
RouterCconfig)#hostnane RB 
RBCconfig) frane-relay suitching 


将 路 由 器 降级 为 帧 中 继 交 换 机 


RBCconf ig) tinterface serial 270 
RBCconf ig-if encapsulation Frane-relay peE 
RBCconf ig-if frane—relay int£—type dce 可 宙 于 于 交 朋 
RBCconf ig-if clock rate 64989 

RBKeonfig-ify#frane_relay route 29 interface serial 2/1 21 配置 帧 中 继 映射 
RBCconfig-if?#frame-relay route 39 interface serial 2/1 31 即 配置 永久 虚 电 路 
RBCconf ig-if ?#ex 


RBCconf ig)interface serial 2/1 配置 帧 中 继 封 装 目 为 DCE 
RBCconf ig-if Yencapsulation frame-relay 

RBCconf ig-if)#frane—relay intf-type dce 配置 时 钟 频率 

RBCconf ig-if)Hclock rate 64998 

RBKconfiq-ifyfrane-relay route 31 interface serial 2/9 39 配置 帧 中 继 映射 
RBKconfig-if?#frame-relay route 21 interface serial 2/B 29 即 配置 永久 虚 电路 


全 图 11-18 配置 帧 中 继 交 换 机 


器 RB 原本 是 三 层 设备 ， 现 在 将 其 作为 帧 中 继 交 换 机 ， 成 为 了 二 层 设备 ， 因 此 是 降 
级 使 用 。 在 接口 上 配置 帧 中 继 映 射 的 过 程 就 是 在 帧 中 继 交 换 机 上 创建 永久 虚 电 路 的 过 程 。 
(3) 在 路 由 


器 RC 上 ， 配 置 广域网 接口 使 用 帧 中 继 封 装 ， 配 置 子 接口 的 IP 地 址 以 及 对 
应 的 DLCI， 如 图 11-19 所 示 。 


RCKconfig?4iinterfac serial 2 je 
RCCconf ig-if encapeulation frane-relay 配置 物理 接口 
帧 中 继 封 装 


RCCconf ig-if no sh 
RCCconf ig-if Hexi 

RCCconf iq)#interface serial 2/1.1 point-to-point 

RCCconf ig-subif )#ip address 19-9-9-2 255.255.255.9 配置 子 接口 IP 
RCCconf ig-subif frane-—relay interface-dlci 21 和 和 DLCI 
RCCconf ig-fr-dlci)#ex 

RCCconf ig-subif Yino sh 


RCCconf ig)#interface serial 2/1.2 point-to-point 配置 子 接口 IP 
RCCconfig-subif)?#ip address 18-B-1-2 255-255-255-9 和 DLCI 
RCCconfig-subif?#frame-relay interface-dlci 31 

RCCconf ig-fr-dlci)#^Z 


全 图 11-19 在 路 由 器 RC 上 配置 帧 中 继 子 接口 


广域网 


(4) 在 路 由 器 RA 上 查看 子 接口 状态 。 可 以 看 到 物理 层 和 数据 链 路 层 都 是 up 状态 ， 帧 
中 继 封 装 ， 如 图 11-20 所 示 。 


Rh#ishow interfaces serial 2/0.1 
Seriall/B-1 is up. line protocol is up 
Hardware is M4T 
Internet address is 19.6.0.1/24 
MIU 1599 bytes。BW 1544 Kbit, DLY 28068 usec- 
reliability 255/255, txload 1/255,. rxload 1/255 
Encapsulation FRAME-RELAY 
Last clearing of "show interface" counters never 
RAishow interfaces serial 2/0.2 
Serial1/0.2 is up, line protocol is up 
Hardware is MAT 
Internet address is 10.0.1.1/24 
MIU 1599 hytes, BY 1544 Kbit, DLY 26868 usec, 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation FRAME-RELAY 
Last clearing of "show interface" counters never 


4 图 11-20 查看 帧 中 继 子 接口 
(5) 在 路 由 器 RA 上 测试 到 RC 的 两 个 逻辑 接口 是 否 通 ， 如 果 通 ， 说 明 帧 中 继 的 两 个 
永久 虚 电 路 配置 成 功 ， 如 图 11-21 所 示 。 


RAtping 10.0.0.2 

Type escape sequence to abort. 

Sending 5。199-byte ICMP Echos to 19-9-B-2。 timeout is 2 seconds: 

eeee 

Success rate is 199 percent (5/5), round-trip nin/avg/max = 216/395/584 ms 


RAtping 10.0.1.2 

Type escape sequence to abort. 

Sending 5。199-byte ICMP Echos to 19.9-1.2。 tineout is 2 seconds: 

ee 

Success rate is 198 percent (5/5), round-trip nin/avg/nax = 216/342/564 ms 


和 4 图 11-21 测试 网 络 连通 性 
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虚拟 专用 网 络 (VPN，Y) 我 们 可 以 把 它 理解 成 是 虚拟 出 来 的 企业 内 部 专线 。 它 可 以 通 
过 特殊 加 密 的 通信 协议 连接 在 Internet 上 的 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 
一 条 专用 的 通信 线路 ， 如 同 架设 了 一 条 专线 , 但 是 它 并 不 需要 真正 地 去 铺设 光缆 之 类 的 物理 
线路 。 这 好 比 去 电信 局 申请 专线 ， 但 是 不 用 付 铺设 线路 的 费用 ， 也 不 用 购买 路 由 器 等 硬件 设 
备 。VPN 技术 原 是 路 由 器 具有 的 重要 技术 之 一 , 目前 交换 机 、 防 火 墙 设备 以 及 Windows 2003 
和 Windows Server 2003 等 软件 中 也 都 支持 VPN。 总 之 ，VPN 的 核心 就 是 利用 公共 网 络 建立 
虚拟 私有 网 。 
如 图 11-22 所 示 的 远程 用 户 可 以 通过 Internet 建立 到 企业 内 部 网 络 的 VPN 连接 ， 这 样 
该 用 户 就 可 以 像 是 在 内 网 中 一 样 访问 企业 内 部 网 络 的 任意 计算 机 。 远 程 用 户 建立 到 RAS 
(Remote Access Server) 服务 器 的 VPN 拨号 连接 后 ， 会 得 到 一 个 内 网 的 IP 地址 10.0.0.8。 
当 它 访问 内 网 的 WebServerl 时 , 数据 包 的 封装 如 图 11-21 所 示 , 将 会 把 局 域 网 的 数据 包 当 
做 数据 , 使 用 RAS 的 公 网 地 址 和 自己 的 公 网 地 址 再 次 封装 为 广域网 数据 包 , 这 样 数据 包 就 
能 通过 Internet 到 达 RAS 的 公 网 地 址 23.23.2.2。RAS 再 将 广域网 封装 的 部 分 去 掉 ， 使 局 域 
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网 数据 包 在 企业 内 部 网 络 传输 。 这 里 省 去 了 广域网 封装 过 程 中 数据 包 加密 和 完整 性 的 封装 
介绍 。 


2323220 RemotepC 


WebServer! 
10.002 


全 图 11-22 远程 访问 VPN 示意 图 
还 有 一 种 VPN 是 站 点 间 VPN， 如 图 11-23 所 示 。 站 点 间 VPN 可 以 通过 Internet 将 两 个 
局 域 网 连接 起 来 ， 你 只 需 配 置 北京 和 石家庄 两 个 局 域 网 的 VPN 服务 器 即 可 ， 对 于 北京 和 石 
家 庄内 网 的 计算 机 相互 访问 Internet 则 是 透明 的 。 


Internet 


全 图 11-23 站 点 间 VPN 示意 图 


408 


第 11 章 


广域网 有 


通过 以 上 介绍 可 以 看 出 ,VPN 技术 是 利用 Internet 扩 展 私 有 网 络 的 一 项 非常 有 用 的 技术 ， 
它 不 需要 额外 的 开销 ， 利 用 现 有 的 Internet 接 入 ， 只 需 稍 加 配置 就 能 实现 远程 用 户 对 内 网 的 
访问 以 及 两 个 私有 网 络 的 相互 访问 。 

下 面 将 会 介绍 VPN 使 用 的 广域网 协议 以 及 如 何在 路 由 器 和 Windows Server 2003 上 实现 
远程 访问 VPN。 


11.3.1 VPN 使 用 的 广域网 协议 


VPN 中 的 隧道 是 由 隧道 协议 形成 的 。VPN 使 用 的 隧道 协议 主要 有 两 种 : 点 到 点 隧道 协 
议 (PPTP) 和 第 二 层 隧 道 协议 (L2TP over IPSec) 。 
PPTP 封装 了 PPP 数据 包 中 包含 的 用 户 信 息 ， 支 持 隧道 交换 。 隧 道 交换 可 以 根据 用 户 
权限 ， 开 启 并 分 配 新 的 隧道 ， 将 PPP 数据 包 在 网 络 中 传输 。 另外， 隧道 交换 还 可 以 将 用 户 
导向 指定 的 企业 内 部 服务 器 。PPTP 便于 企业 在 防火 墙 和 内 部 服务 器 上 实施 访问 控制 。 位 
于 企业 防火 墙 的 隧道 终端 器 接收 包含 用 户 信 息 的 PPP 数据 包 , 然后 对 不 同 来 源 的 数据 包 实 
施 访问 控制 。 
L2TP 协议 综合 了 PPTP 协议 和 L2F (Layer 2 Forwarding) 协议 的 优点 ， 并 且 支 持 多 路 
隧道 ， 这 样 可 以 使 用 户 同时 访问 Internet 和 企业 网 ， 但 需要 结合 IPSec 实现 其 安全 性 。 
PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ， 然 后 添加 附加 报头 用 于 数据 在 互联 网 
络 上 的 传输 。 尽 管 两 个 协议 非常 相似 ， 但 仍 存在 以 下 几 方 面 的 不 同 。 
。 ”PPTP 要 求 互联 网 络 为 卫 网 络 ，L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 连接 。 
L2TP 可 以 在 IP (使 用 UDP〉、 帧 中 继 永 久 虚 拟 电路 (PVCs) 、X.25 虚拟 电路 (VCs) 
或 ATM VCs 网 络 上 使 用 。 

" ”PPTP 只 能 在 两 端点 间 建 立 单一 隧道 ，L2TP 支持 在 两 端点 间 使 用 多 隧道 ， 使 用 L2TP， 
用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

”LIL2TP 可 以 提供 包头 压缩 , 当 压 缩 包 头 时 , 系统 开销 (overhead) 占用 4 个 字 节 ; 而 PPTP 

协议 下 要 占用 6 个 字 节 。 

" ”L2TP 可 以 提供 隧道 验证 ;而 PPTP 则 不 支持 隧道 验证 。 但 是 当 L2TP 或 PPTP 与 IPSec 

共同 使 用 时 ， 可 以 由 IPSec 提供 隧道 验证 ， 不 需要 在 第 2 层 协 议 上 验证 隧道 。 

。 ”PPTP 使 用 TCP 的 1723 端口 ，L2TP 使 用 UDP 的 1701 端口 。 


11.3.2 配置 路 由 器 为 VPN 服务 器 


下 面 用 Cisco 3660 系列 路 由 器 配置 为 远程 访问 服务 器 ， 人 允许 Internet 用 户 通过 L2TP 协 
议 拨 入 到 企业 内 网 。 本 实验 需要 Dynamips 软件 搭建 的 网 络 环境 ， 网 络 拓扑 如 图 11-24 所 示 ， 
路 由 器 RB 模拟 企业 内 网 的 一 个 计算 机 ， 在 路 由 器 RA 上 配置 远程 访问 服务 器 ， 远 程 用 户 使 
用 虚拟 机 来 模拟 。 
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20.11. 20.1.1.122 


10.0.0.1 | 


全 图 11-24 远程 访问 VPN 实验 环境 
按照 图 11-23 所 示 配置 路 由 器 RA 和 路 由 器 RB 的 IP 地 址 , 以 及 远程 计算 机 的 IP 地 址 。 
在 路 由 器 RB 上 添加 默认 路 由 。 
RB (cofnig) #ip route 0.0.0.0 0.0.0.0 10.0.0.1 
1. 在 RA 上 配置 L2TP VPN 
(1) 如 图 11-25 所 示 ， 在 LNS 上 配置 远程 用 户 拨 入 的 用 户 名 和 对 应 的 密码 。 
RACconf ig)#username han password pesswBra 
4 图 11-25 配置 远程 拨 入 用 户 
(2) 如 图 11-26 所 示 ， 启 用 VPDN 功能 (VPDN 默认 是 关闭 的 ) 。 
RhCconfig?#updn enable 
全 图 11-26 启用 VPDN 功能 
(3) vpdn-group onest-l2tp: 建立 一 个 虚拟 拨号 组 ， 并 命名 为 onest-l2tp。 
accept-dialin: 设置 允许 客户 端 拨 入 。 
protocol 12tp: 启用 12TP 隧道 协议 。 
virtual-template 1: 建立 一 个 虚拟 接口 1 (一 个 虚拟 拨号 组 中 最 多 可 以 建立 25 个 虚 
拟 接口 ) 。 
配置 过 程 如 图 11-27 所 示 。 
RACconf ig)#vpdn-group onest-12tp 
RACconf ig-vpdn’)#accept—-dialin 
RACconf ig-vpdn-acc—in)#protocol 12tp 


RACconf ig-vpdn-acc—in)#virtual-template 1 
RACconf ig—-vpdn-—acc—in)#exi 


和 A 图 11-27 建立 和 配置 虚拟 拨号 组 
(4) 关闭 12TP 隧道 的 认证 功能 (也 可 以 开启 认证 功能 ， 这 时 候 ， 需 要 搭建 一 台 CA， 
然后 申请 证 书 ， 并 且 客 户 端 也 需要 申请 证 书 才能 连 上 RA， 这 样 会 更 安全 ) 。 配 置 
过 程 如 图 11-28 所 示 。 


RACconf ig-vpdn’#no 12tp tunnel authentication 
RACconf ig-vpdn )#exi 


A 图 11-28 关闭 L2TP 隧道 认证 功能 
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(5) 建立 VPN 客户 端 拨 入 分 配 的 IP 地 址 的 地 址 池 ， 并 命名 为 onest-l2tp-user。 也 可 以 

通过 企业 内 部 DHCP 服务 器 申请 ， 如 图 11-29 所 示 。 

RhKconfig?#ip local pool onest-12tp-user 172.16-9-1 172.16.0.190 
全 图 11-29 指定 分 配 各 远程 计算 机 的 地 址 池 

(6) interface virtual-Template 1: 进入 虚拟 拨号 组 onest-myl2tp 的 虚拟 接口 1。 
(7) ip unnumbered fastEthernet 1/0: 借用 出 口 端口 fastEthernet 1/0 的 接口 来 转发 2TP 

隧道 协议 传输 的 流量 。 
(8) peer default ip address pool onest-l2tp-user: 设置 VPN Client 拨号 动态 获得 IP 地址 

对 应 的 地 址 池 。 
(9) 设置 客户 端 拨 入 LNS 服务 器 需要 的 认证 方式 为 chap ms-chap。 配置 过 程 如 图 11-30 

所 示 。 
RACconf ig)Hinterface virtual-Tenplate 1 


RACconf ig-if )#ip unnunbered fastEthernet 1/0 
RACconf ig-if YHpeer default ip address pool onest-12tp-user 


RACconf ig-if YHppp authentication ? 


chap Challenge Handshake huthentication Protocol CCHAP> 

eap Extensible huthentication Protocol 《EAP> 

ms-chap Microsoft Challenge Handshake huthentication Protocol CMS-CHAP> 
ms-chap-v2 Microsoft CHAP Uersion 2 《MS-CHAP-V2> 

pap Password huthentication Protocol CPAP» 


RACconf ig-if )#ppp authentication chap ms-chap 
全 图 11-30 配置 虚拟 拨号 组 1 
(10) 如 图 11-31 所 示 ， 配 置 完成 之 后 ， 在 LNS 上 通过 show ip interface brief 查看 虚拟 
拨号 接口 Virtual-Templatel 的 IP 地 址 ， 可 以 看 出 是 借用 了 FastEthernetl/0 的 IP 
地 址 。 


RACconf ig—if ># 人 Z 
Rh#show ip interface brief 


Interface IP-Address OK? Method Status Prot 
ocol 

FastEthernet@/0 unassigned YES unset adninistratively down down 
FastEthernet@/1 unassigned YES unset adninistratively down down 
FastEthernet1/@ 28.1.1.1 YES manual up up 
Serial2/@ 18.8.8.1 YES manual up up 
Serial2/1 unassigned YES unset adninistratively down down 
Serial2/2 unassigned YES unset adninistratively down down 
Serial2/3 unassigned YES unset adninistratively down down 
Virtual-Accessi1 unassigned ES unset down down 
Virtual-Temnplatel 28.1.1.1 YES TFTP down down 


A 图 11-31 查看 配置 的 Virtual-Template 接口 
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2. 配置 VPN 客户 端 
(1) 如 图 11-32 所 示 ， 确 保 Internet 上 的 计算 机 能 够 ping 通 RA 路 由 器 的 Fal/0 接口 。 


C:\Docunents and Settings\han>ping 28.1.1.1 


Pinging 29-1-1-1 with 32 bytes of data: 


Reply fron 20.1.1.1: bytes=32 time=198ms TIL=255 
Reply fron 20.1 ytes=32 tine=157ns TTL=255 
Reply from 20.1.1.1: bytes=32 tine=23ms TTL=255 
Reply from 20.1.1.1: bytes=32 tine=94ms TIL=255 


Ping statistics for 28.1.1.1: 
Packets: Sent = 4,. Received = 4,. Lost = @ (@x loss), 
Approxinate round trip tines in nilli-seconds: 
Mininun = 23ns, Maxinun = 198ns, fverage = 118ms 


A 图 11-32 测试 到 远程 访问 服务 器 RA 的 连通 性 
(2) 如 图 11-33 所 示 ， 在 计算 机 中 打开 “网 络 连 接 ” 窗 口 ， 单 击 “ 创 建 一 个 新 的 连接 ”， 
建立 VPN 拨号 连接 。 


立 件 全 辐 概 眶 ) 查看 中 路 写 () 工具 YI) 两江 加 币 助 由 
是 -加 “个 及 于 蕊 zx | 回 - 


红 直 四 | 念 Fa 于 榨 
rt 


全 按 
枉 
多 


相关 主题 
上 大谷 胃 序 


不 它 公 加 
GD EM 
辐 F8 
A 


A 图 11-33 创建 VPN 拨号 连接 
(3) 在 出 现 的 “欢迎 使 用 新 建 连接 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
(4) 如 图 11-34 所 示 ， 在 出 现 的 “网 络 连接 类 型 ”设置 界面 中 ， 选 中 “连接 到 我 的 工 
作 场 所 的 网 路 ” 单 选 按 钮 ， 单 击 “ 下 一 步 ”按钮 。 


同 络 连 接 关 型 
念 想 做 什 么 ? 


口 连 状 到 Internet CC) 
连 本 列 | Interaet ， 这样 全 就 可 以 浏览 Feb 或 更 沪 电子 邮 御 。 


OMNI 
车 (全 衣 计 和 瑟 eiD 这样 人 于 可 以 在 家 时 求 者 其 它 地 


口 设置 家 庭 或 小 型 办 公司 络 G) 
连接 列 | 一 个 现 有 的 家 庭 或 小型 办 公 网 络 ， 或 者 设置 一 个 新 的 


口 设置 高 辅 连 接 外) 


用 邯 口 ， 审 口 未 江 站 谊 口 直接 连接 到 其 它 寺 算 乱 ,或 设置 此 计算 机 全 其 它 
计划 机 能 与 它 连 接 。 


全 图 11-34 选择 网 络 连接 类 型 
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(5) 如 图 11-35 所 示 ， 在 出 现 的 “网 络 连 接 ” 设 置 界面 中 ， 选 中 “虚拟 专用 网 络 连 接 ” 单 
选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
和 


个 焉 报 二 用 网 交加 车 
便 天 所 于 用 FS (WFD 通 过 Tntzrret 还 至 ap- 


Eu [和 ] 


全 图 11-35 选择 网 络 连接 
(6) 如 图 11-36 所 示 ， 在 出 现 的 “连接 名 ”设置 界面 中 ， 输 入 名 称 ， 单 击 “ 下 一 步 ” 


按钮 。 
新 建 连接 向 导 
Sega fe 
在 而 得 中兴 入 如 放权 的 各。 
公司 各 由 


人 和 0 ， 次 村 书坊 入 强生 工作 寺 占 各 贡 作 这 把 生 | 朋 各 新 


ESDITFDI CW] 


全 图 11-36 指定 连接 名 称 
(7) 如 图 11-37 所 示 ， 在 出 现 的 “VPN 服务 器 选择 ”设置 界面 中 ， 输 入 远程 访问 服务 
器 的 地 址 。 在 这 里 就 是 路 由 器 RB 连接 Internet 的 IP 地 址 ， 单 击 “ 下 一 步 ” 按 钮 。 


rr 野 务 要 连天 CA 
PF 服务 加 的 避 各 革 半生 是 什么 ” 
二 入 全 下 过 的 计 提 可 抽 主板 各 或 IT 地 址 。 
主机 和 成 了 地 直 Blo ,sisroscle om 或 157 54.0.. 加 


i 


全 图 11-37 输入 远程 访问 服务 器 的 IP 地 址 


(8) 如 图 11-38 所 示 ， 在 出 现 的 “正在 完成 新 建 连接 向 导 ” 设 置 界面 中 ， 选 中 “在 我 
的 桌面 上 添加 一 个 到 此 连接 的 快捷 方式 ” 复 选 框 ， 单 击 “ 完 成 ”按钮 。 
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(9) 如 图 11-39 所 示 ， 右 和 
性 ”命令 。 


fF“ 设置 ”按钮 。 


(10) 如 图 11-40 所 示 ， 在 出 现 的 属性 对 话 框 的 “安全 ”选项 卡 中 ， 选 中 
按钮 。 单 击 “; 


cc 
$ 万 me 已 zs 国 - 
本 
回 thn 人 
eb 


5 了 中 
EE 

4 于 8 式 
HH 


ET 


正在 完成 新 建 连 芒 问 导 


人 已 R 所 和 理 下 区 王 插 写 要 的 与 和 


i 


此 告知 生计 存 入 “ 隐 半 连 择 ? 文 补 开 。 


[1 


区 


4 图 11-38 完成 VPN 拨号 创建 


f 刚 才 创 建 的 VPN 拨号 连接 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 


6 站 : 


高 级 ” 单 选 


人 让 二 久 设 要) D) 


要 全 用 这 二 这 要 在 窑 全 作 8001 | 


Eeea | 


和 4 图 11-39 更 改 拨号 连接 的 属性 
(1) 如 图 11-41 所 示 ， 在 出 现 的 “高 


1 可 


全 图 11-40 更 改 安全 设置 


级 安全 设置 ”对 话 框 中 ， 选 中 “允许 这 些 协议 ” 


单 选 按钮 ， 并 选中 “质询 握手 身份 验证 协议 ” 复 选 框 和 Microsoft CHAP 复 选 框 ， 
取消 选中 “Microsoft CHAP 版 本 2” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 


识 级 安全 惧 填 
Ro 0 


一 录 安全 指 这 


Oi 


[mE ziP) QD 


st CP Oe- OW 


全 图 11-41 


再 要 轴 二 上 果 服务 器 拒 抱 本 新 开 过 六 ) 


口 全 用 可 扩展 的 身份 痊 证 办 议 Ei 地) 全) 


冯 身价 验证 协议 GPAD G) 
身 个 芋 证 协 识 CIP) 避 ) 


从 许 呈 iadowxa5 服务 器 全 用 旧 卫 NS-CiAF 全) 
EUE 2 SCA v2] OY 


口 礁 于 Ws-Qur 的 th ， 自动 使 用 我 的 Wintows 到 录 各 和 空 吗 
(下 基 ， 加 条 有 的 必 ) 到 ) 


更 改 高 级 安全 设置 


局 | 区 | 


CJ Cm 


Pr 
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(12) 如 图 11-42 所 示 , 在 “网 络 ?选项 卡 中 的 *VPN 类 型 ”下拉 列表 框 中 选择 L2TP IPSec 
VPN 选项 ， 单 击 “确定 ”按钮 。 完 成 配置 。 


此 和 连接 使 用 下 列 项 目 @) 


回 科 Internet 协议 CCP/IF) 

回电 Qos 数据 包 计划 程序 

回转 呈 crosoft 网 络 的 文件 和 打印 机 共享 
回避 由 crosoft 网 络 客户 端 


描述 


A ee rm 


Cj Cw 
全 图 11-42 更 改 VPN 类 型 

(13) 如 图 11-43 所 示 ， 设 置 完成 之 后 ， 输 入 用 户 名 和 密码 (在 RA 服务 器 上 设置 的 用 
户 名 和 密码 ) 连接 RA 服务 器 。 

(14) 如 图 11-44 所 示 ， 连 接 过 程 中 会 出 现 需要 证 书 的 错误 ， 这 是 因为 Windows 
2000/XP/2003 的 L2TP 默认 启动 证 书 方式 的 IPSec， 所 以 必须 向 Windows 添加 
ProbibitIpSec 注册 表 值 ， 以 防止 创建 用 于 L2TP/IPSec 通信 的 自动 筛 选 器 。 

ProbibitIpSec 注册 表 值 设置 为 1 时， 基于 Windows 2000 的 计算 机 不 会 创建 使 用 CA 

身份 验证 的 自动 筛选 器 ， 而 是 检查 本 地 IPSec 策略 或 Active Directory IPSec 策略 。 


正在 连接 onest..。 


El 连接 到 20.1.1.1... 


连接 到 onest 时 出 错 外国 
连接 到 20.1.1.1..- 


和 全 党 估 下 


一 


加 隐 下 而 用 户 保 冰 用 户 省 和 祝 友 外 )3 
回 只 是 我 四 
〇 任何 使 用 此 计算 机 的 人 A) 


[并 [| 了 瑚 _] [性 中 
全 图 11-43 输入 用 户 名 和 密码 和 4 图 11-44 需要 证 书 

3. 修改 VPN 客户 端的 注册 表 

要 向 Windows 添加 ProbibitIpSec 注册 表 值 ， 请 按照 下 列 步骤 操作 。 


详细 信息 Ql) | 
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(1) 选择 “开始 ”一 “运行 ” 
击 “ 确 定 ”按钮 。 


命令 ， 在 弹出 的 “运行 ”对 话 框 中 输入 regedit， 然 后 单 


(2) 如 图 11-45 所 示 ， 找 到 下 面 的 注册 表 子 项 ， 然 后 单 击 它 : 
HKEY _ LOCAL MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 


:注册 表 编 辑 吕 
文件 中 闹 辑 下 ) 查看 QW 收 若 严 丰 ) 


帮助 人 D 


日 全 Pram 
国 me 
田 息 PP 
自 seeei 
由 国 Raspppoe 
由 国 Baspti 
由 外 ass 
由 国 mcDD 
由 国 mrm 
由 国 rdpar 
由 国 mp 
自 mm 
由 国 Mnsesse 
由 国 redbook 
由 图 aametwee 


DD hole 

外 国 meed 

时 生 yeocstn@ 
> 


名 称 

ww] RMU) 

圈 Imout astemerk Ox00000005 (5) 

固 IpootLowwsterewk Ox00000001 (1) 

medins ee 

固 本 Enkti eatermerk 0x00000005 (5) 

项 mernLowwatermark 0x00000001 (1) 

国 本 tnetuti shgatermark 0x00000005 (5) 

项 mtDatLowratermark 0x00000001 (1) 
GysteaReotWNSysten32Wrasmans， 


< 可 扩充 字符 囊 值 下) 


履 的 电脑 HEY _LDCAL_NACHINE\STSTEN\CurrentContr olSet\Services\ Rasen Fu waters 


和 A 图 11-45 创建 注册 表 项 


(3) 在 该 项 中 新 建 一 个 “DWORD 值 ”。 


(4) 将 DWORD 值 重 命名 为 


ProbibitTpSec 。 


(5) 如 图 11-46 所 示 ， 双 击 ProbibitTpSec， 将 其 值 更 改 为 1。 
(6) 退出 注册 表 编 辑 器 ， 然 后 重新 启动 计算 机 。 


:注册 表 编 颖 着 


刁 辐 Pre 
Dm 
昌国 
入 Sueuri 
由 国 haspppoe 
由 国 hespti 
宙 国 hass 
由 国 ppcn 
由 国 mmpm 
直 国 raptr 
由 国 MnPm 
局 mm 
由 国 hnsesse 一 
由 国 redbook 
由 国 Renotehece 
四 emoteRegi 
由 国 rpeepa 
由 国 scoeatm 国 
< >» 


名 称 

国标 以) 做 信 未 设置 ) 
辆 Ipouuti astermerk 0x00000005 (5) 
圈 IpoutLomrstemark ;1 Ox00000001 (1) 
eains LTT raategi 

辆 mHzhrfaternek 


< 


我 的 电脑 \HKEY_LOCAL_MACHINE\STSTEN\CurrentControlSet\Services\Easlan\Parameters 


4. 拨号 之 后 访问 内 网 


全 图 11-46 更 改 键 值 


(1) 如 图 11-47 所 示 ， 拨 号 之 后 查看 IP 配置 ， 可 以 看 到 VPN 拨号 后 远程 访问 服务 器 
分 配 的 内 网 地 址 172.16.0.1。 
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C: Docunents and Settings\han>ipconfig 


Windows IP Configuration 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 
: 28.1.1.122 
: 255.255.255.0 


PPP adapter onest: 


Connection-specific DNS Suffix - : 


IP fddress - :3 172.16.8.1 
Subnet Mask - : 255.255.255.255 
Default Gateway - . - 3 172.16.8.1 


全 图 11-47 查看 拨号 后 建立 的 连接 
(2) 如 图 11-48 所 示 ， 访 问 内 网 路 由 器 RB 的 地 址 
C:\Documents and Settings\han>yping 19.9.9.2 


Pinging 18.0.0.2 with 32 bytes of data: 


Reply from 10.0.0.2: bytes=32 time=149ms TIL=254 
Reply from 18.8.0.2: bytes=32 tine=56ms IIL=254 
Reply from 10.0.0.2: bytes=32 tine=i@ins TIL=254 
Reply from 10.8.0.2: bytes=32 tine=69ms TIL=254 


Ping statistics for 10.0.0.2: 
Packets: Sent = 4。 Received = 4。 Lost = @ (Gx loss), 
hpproximate round trip times in milli-seconds: 
Minimum = 56ms。Maximum = 149ms。huerage = 93ms 


和 4 图 11-48 测试 到 内 网 的 访问 
(3) 断 开 VPN 拨号 ， 你 将 不 能 访问 内 网 的 计算 机 。 


11.3.3 配置 Windows 服务 器 为 VPN 服务 器 


如 图 11-49 所 示 ， 企 业内 网 地 址 为 10.0.0.0/24，RAS 为 Windows Server 2003 服务 器 ， 连 接 
内 网 和 外 网 。 现 在 需要 配置 RAS 服务 器 为 远程 访问 服务 器 ， 人 允许 Internet 用 户 能 够 氢 入 内 网 。 


企业 内 部 网 络 J 


= v6 Internet 
2323220 
232322 
S RemotepPC 


全 图 11-49 远程 访问 VPN 示意 图 
在 Windows Server 2003 上 配置 远程 访问 服务 器 的 步骤 如 下 。 


WebSserver1 
10.0.02 
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(1) 启用 路 由 和 远程 访问 服务 器 。 
(2) 指定 分 配给 远程 计算 机 的 IP 地 址 。 
(3) 创建 用 户 允 许 远 程 拨 入 。 


1. 配置 远方 访问 服务 器 的 


在 RAS 上， 按照 图 11-48 所 示 配 置 连接 Internet 和 内 网 的 IP 地 址 。 
(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”命令 。 
(2) 如 图 11-50 所 示 ， 右 击 服务 器 ， 在 弹出 的 快捷 菜单 中 选择 “配置 路 由 和 远程 访问 ” 
命令 。 
EE 
|X 思 向 多面 


ER 
时 辟 昧 高 
TEST 


可， 在 “操作 ”了 单 上 单 而“ 配置 并 启 月 路由 


目 m， 可 理 万 当 ， 以 用 共 角 答 更 多 信 息 ， 


4 图 11-50 配置 路 由 和 远程 访问 
(3) 在 出 现 的 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 
按钮 。 
(4) 如 图 11-51 所 示 ， 在 出 现 的 “配置 ”设置 界面 中 ， 选 中 “远程 访问 (拨号 或 VPN)” 
单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 


EREERTTEEEEDTH 


本 ee 
从 可 以 启用 下 有 过 的 性 总 扫 合 ， 或 者 冤 可 以 自 定 炙 此 朋 基 入 。 De] 


I 

nt 
三 同属 让 乱 让 DAT GU) 

区 许 内 部 宫 户 清和 用 一 个 公共 也 寺 址 到 入 | Tateraete 
人 

坦 记 过 Tatarzet 到 上 服务 器 不 地 才 记 苇 全 一 个 提 一 的 
和 下 扒 直 玉 妆 和 twrtet。 

矿 再 个 专用 [3 之 问 各 实 全 尝 反 在) 

千 此 网 结 入 接 | 个 汪 程 属 ， 便 各 一 个 分 办 公 室 。 
BB 守 EC) 

法 措 在 防 册 生得 访问 中 的 任何 用 功 双 的 超 - 
关注 2 本 的 百 才 二， 请 估 后卫 击 让 二 想 沁 于 和 各， 


Lt-s®[T-sm] wm | 


和 图 11-51 选择 远程 访问 
(5) 如 图 11-52 所 示 , 在 出 现 的 “远程 访问 ”设置 界面 中 , 选中 VPN 复 选 框 , 单 击 “ 下 
一 步 ”按钮 。 


EREEETETEEEEEB 


运 入 有 
富 可 以 本 轩 此 节 务 器 入 天 拉 这 按 和 WH 址 区。 Des 


rim 
Em wr FU Interset ME tg 


三 扰 叶 中 


a hi 


上 -四 [5 四 中 Wn 


全 图 11-52 选择 VPN 连接 
(6) 如 图 11-53 所 示 ， 在 出 现 的 “VPN 连接 ”设置 界面 中 ， 选 中 连接 Internet 的 网 卡 ， 
单 击 “ 下 一 步 ” 按 钮 。 


mr Ee 
P| 。。 提 于 本 


媳 拉 此 服务 和 过 拉 | Zeternat 的 由 有 插口 


Fa OD); 

TE 3 T 
四 TatelGy TH/1000 10.0.0.1 
ITC 77). p00 


万 角 久 闪 和 和 太 典 括 包 扩 光 新 天 对 必 委 的 暂 品 内行 保 护 ()。 
各 于 著名 和 消光 只 化 这 YTN 厦 二 区 定 的 接口 沪 记 服务 部 。 


有 天 了 报 站 科 思 多 信息 ， 请 榨 了 用 自给 滞 大和. 


9 md TE WL] 


人 图 11-53 选择 连接 Internet 的 网 卡 
(7) 如 图 11-54 所 示 ， 在 出 现 的 “IP 地 址 指定 ”设置 界面 中 ， 选 中 “来 自 一 个 指定 的 
地 址 范围 ?， 单 击 “ 下 一 步 ” 按 钮 。 


ETEEERTE 
J 壤 直 将 定 
令 玉 忆 这 控 对 光 得 杰 户 江涛 IT 地 直 的 方法 - 


黎 寻 各 何 对 运 得 雹 户 滨 担 凰 于 地 址 ? 
广 动 办 
i mm 


OE 


= 7 | 


全 图 11-54 选择 分 配 地 址 的 方式 
(8) 如 图 11-55 所 示 ， 在 出 现 的 “地 址 范围 指定 ”设置 界面 中 ， 单 击 “ 新 建 ” 按 钮 。 
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(9) 如 图 11-55 所 示 ， 在 出 现 的 “新 建 地 址 范围 ”对 话 框 中 ， 输 入 一 个 地 址 范围 。 
程 计算 机 VPN 拨 入 将 会 从 中 选择 一 个 地 址 分 配给 远程 计算 机 。 


到 
从 全 由 辆 入 一 个 起 过 他 夫 直 。 和 结 训 了 ?地址 来 区 团 于 也 村 址 党 - 
0 
ese er 
地 直到 甸 可 


Ce |_w | 


Ei 


WW, | sm | BRO 


LE 有 用 


全 图 11-55 指定 地 址 范围 
(10) 如 图 11-56 所 示 ， 在 出 现 的 “管理 多 个 远程 访问 服务 器 ”设置 界面 中 ， 选 中“ 耕 ， 
使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ”， 单 击 “ 下 一 步 ” 按 钮 。 


ETTEEE 


et nzg2339aatr3PE 国 
机 六 号 Daa| 
Et tit > 


次 


rd PT hed hoho nei 


各 要 座 置 服务 器 与 KTIS 服务 器 一 地 工作 本/ 


< 上 -和 $D| 站 交 


全 图 11-56 选择 身份 验证 方式 
G11) 在 出 现 的 “完成 路 由 和 远程 访问 服务 器 安装 向 导 ”界面 中 ， 单 击 “ 完 成 ”按钮 ， 
(12) 如 图 11-57 所 示 ， 在 出 现 的 “路 由 和 远程 访问 ”提示 对 话 框 中 ， 单 击 “ 确 定 ” 
按钮 。 
可 
人 


CEJ_w | 
全 图 11-57 提示 配置 DHCP 中 继 代 理 
2. 创建 用 户 允 许 远程 拨 入 
(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 。 
(2) 如 图 11-58 所 示 ， 右 击 “ 用 户 ” 节 点， 在 弹出 的 快捷 菜单 中 选择 “新 用 户 ”命令 。 
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(3) 如 图 11-59 所 示 ， 在 出 现 的 “新 用 户 ” 对 话 框 中 ， 输 入 用 户 名 和 密码 ， 单 击 “ 创 
EE 新 用 户 x 
ER pF 

| lo 
BD: we) 
到: 1 
EFT 三 用户 不 才 更 家 码 G) 
厂 雷 友 永 不 过 期 @) 
厂 帐户 已 禁用 @) 
EE] 关闭 
全 图 11-58 选择 “新 用 户 ”命令 全 图 11-59 “新 用 户 “ 对 话 框 


(4) 双击 新 用 户 ， 如 图 11-60 所 示 ， 在 出 现 的 用 户 属 性 对 话 框 的 “ 拨 入 ”选项 卡 中 ， 
选中 “允许 访问 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 


Ea] 
过 规 ”| 条 累 于 | 卫 置 文件 | 环境 | 会 话 
远 和 控制。 | 终 过 服 务 卫 置 文件 执 入 
运程 浪 问 权限 时 入 或 PID 
6 BF) 
个 失地 访问 加 
个 通过 远程 访问 策略 控制 访问 下 ) 
WEF DD: IE 
三 回 扰 选 项 
i 
个 由 至 叫 方 设置 ( 仅 路 由 各 去 程 沪 问 且 务 ) 人 GE) 
个 名 是 同 拓 到 加) 
厂 分 配种 老 ?地 址 忆 ) 
向 才 骨 老路 由 全 一 
为 此 热 入座 接 定义 要 启用 的 路 出 。 Ld 
wy | au | 


全 图 11-60 更 改 用 户 属性 允许 访问 


远程 访问 服务 器 配置 完毕 。 


下 面 介绍 RemotePC 如 何 建立 VPN 拨号 连接 访问 RAS。 


3. 建立 VPN 拨号 


(1) 在 RemotePC 上 ， 选 择 “ 开 始 ” 一 “设置 ”一 “网 络 连 接 ” 命 令 。 确 保 其 能 够 和 


RAS 连接 Internet 的 网 卡通 信 。 


(2) 如 图 11-61 所 示 ， 在 “网 络 连 接 ” 窗 口中 ， 单 击 “ 创 建 一 个 新 的 连接 ”命令 。 


(3) 在 出 现 的 “欢迎 使 用 新 建 连接 向 导 ” 设 置 界 面 中 ， 单 击 “ 下 一 步 ”按钮 。 


(4) 在 出 现 的 “网 络 连接 类 型 ”设置 界面 中 ， 选 中 “连接 到 我 的 工作 场所 的 网 络 ” 单 


选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


(5) 在 出 现 的 “网 络 连接 ”设置 界面 中 ， 选 中 “虚拟 专用 网 络 连接 ” 单 选 按钮 ， 单 击 
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“下 一 步 ” 按 钮 。 


(6) 在 出 现 的 “连接 名 ”设置 界面 中 ， 输 入 公司 名 称 ， 单 击 “ 下 一 步 ” 按 钮 。 


(7) 如 图 11-62 所 示 ， 在 出 现 的 “VPN 服务 器 选择 ”设置 界面 中 ， 输 入 RAS 的 公 网 地 
址 ， 单 击 “ 下 一 步 ”按钮 。 

(8) 在 出 现 的 “正在 完成 新 建 连接 向 导 ” 
到 此 连接 的 快捷 方式 ” 复 选 框 ， 单 


设置 界面 中 ， 选 中 “在 我 的 桌面 上 添加 一 个 
和 “完成 ”按钮 。 


世 建 舌 医 向导 


YIE 服务 回迁 拉 

VPN 服务 器 的 名 各 或 堪 址 是 什么 ? 
广 入 从 寝 总 计 和 机 的 主机 宇 吏 IF 地 址 。 
主机 名 或 Tr 地 址 (例如 ,ni 


2 2322 


on 或 157.54.0.1) 0 


全 图 11-61 “网 络 连接 ”窗口 


全 图 11-62 输入 RAS 的 公 网 地 址 
(9) 如 图 11-63 所 示 ， 在 VPN 拨号 之 前 ， 


ping RAS 服务 器 的 内 网 地 址 ， 不 通 。 


ANWINDOWS\s7stea32\cad- exe 


C:\Documents and Setting 


ny>ping 19-9.9.1 


pinging 19.9.9-1 with 32 of data: 


t unreac 


estination 


estination 


C:\Documents 


Settings\han 


全 图 11-63 测试 到 内 网 的 连接 
(10) 如 图 11-64 所 示 ， 双 了 


进行 连接 。 输 入 用 户 名 和 密码 ， 单 各 


f 刚 才 建 立 的 VPN 拨号 连接 ， 可 以 看 到 默认 使 用 PPTP 协议 
和 “连接 ”按钮 。 


Er ml 一 


全 图 11-64 拨号 连接 
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(11) 如 图 11-65 所 示 ， 拨 通 之 后 ， 在 命令 


0 令 提 示 符 下 输入 ipconfig， 可 以 看 到 RAS 分配 
给 该 计算 机 的 内 网 地 址 。 


Acti 


Proto 


cig “YPN 建立 的 会 话 
"9 也 就 是 PPTP 使 用 的 协议 和 端口 


18.8.9. 


: 10.8.8. 


全 图 11-65 


查看 VPN 建立 的 会 话 和 VPN 建立 的 连接 
(12) 如 图 11-66 所 示 ， 


ping RAS 的 内 网 IP 地 址 10.0.0.1， 可 以 看 到 能 够 ping 通 。 


-9.B.1 with 32 bytes of data: 


10.0.0.1: byte 
byte 
IReply from byte 


Reply from 


Ping stati s for 19.9.9.1: 


Packet ent = 4 


。Receiued = 4, 
Approx 


e round trip tines 


in milli 
Minimum = 1ms- 


Maximum = 1i9ms, 


and Settings\han> 


全 图 11-66 测试 到 内 网 的 连通 性 
4. 配置 VPN 使 用 L2TP 协议 
VPN 拨号 默认 使 用 的 是 PPTP 协议 ， 如 果 使 用 
客户 端 指定 IPSec 用 来 身份 验证 的 共享 密 钥 。 
(1) 如 图 11-67 所 示 ， 在 RAS 上， 打开 “路 
出 的 快捷 菜单 中 选择 “属性 ”命令 


pb 
(2) 如 图 11-68 所 示 , 在 出 现 的 服务 器 属性 对 话 框 的 “安全 ”选项 卡 中 , 选中 “为 L2TP 
连接 允许 自 定 义 IPSec 策略 ” 复 选 枉 ， 输 入 预 共享 的 密 钥 ， 单 击 “确定 ”按钮 。 


L2TP 协议 ， 则 需要 在 远程 访问 服务 器 和 


和 远程 访问 ”窗口 ， 右 击 服务 器 ， 在 弹 
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了 可 
人 符 lz lm 1e 志 | 
TE =J5lx| 和 
立 件 四 。 反攻 全 查看 罗兰 助 tn | 
本 +| 回 国文 甸 四 | 国 固 | 身份 验证 拉 供 程序 0D- 
[Ea | | 
务 跑 快走 
ss 
-i 了 路 由 和 远程 访 月 身 从 验方 法 WD 
和 生 和 各 光 问 服务 关 守 革 导 进行 了 权 置 。 委 对 | 
靖 品 ， 请 在 控制 台 树 中 迹 笃 一 个 项 目 ， 拒 后 在 “党 
由 本 巴 路 外 “ 尾 性 ”。 
各 国史 和 生生 访问 ， 部 团 方 琳 ， 以 及 疑 准 解答 的 更 凶 信 息 ， 记 帐 提供 程序 @); 
Ne rinaows 记 四 EI 
六 ee 路 由 
IJ 为 I2TF 连接 区 许 自 定 义 IPSee 第 略 代 ) 
预 共 享 的 窗 钥 外): 
Pisce 
EE 
p F Ce |] we | gaw | 
A 图 11-67 选择 “属性 ”命令 A 图 11-68 设置 共享 密 钥 


(3) 如 图 11-69 所 示 ， 在 RemotePC 上 ， 碳 击 建立 的 VPN 连接 ， 在 弹出 的 快捷 菜单 中 
选择 “属性 ”命令 。 

(4) 如 图 11-70 所 示 ， 在 出 现 的 连接 属性 对 话 框 的 “安全 ”选项 卡 中 ， 单 击 “IPSec 设 
置 ”按钮 。 


各 onest 展 性 


文件 中 编辑 加 ”查看 名 收 营 A) 工具 TT) 高 级 D 大 忠 吕 | 
9 © FB Pum Ew HO- 验证 我 的 身份 为 


让 加 二 要 有 安全 措施 的 可 
全 < 口 圣 幅 和 sos asmgmG 加 
国名 尘 一 个 新 的 这 了 3: 
Wre Meret 团 要 求 数据 加 密 没有 就 断 开 ) (I) 
no 四 火 
增 座 置 


〇 高 级 ( 自 定义 设置 ) 0) 
网 日 动 此 省 控 


天 至 拘 名 此 过 接 
司 开除 此 连 榨 
更 织 此 连接 的 设置 

设置 为 球 认 竺 接 里 ) 
其 它 位 置 创建 到 村 E) 
四 4 和 面板 Fea 
加 门 上 他 后 MP0) 
rr Ee 
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全 图 11-69 更 改 拨号 连接 属性 全 图 11-70 设置 IPSec 
(5) 如 图 11-71 所 示 ， 在 出 现 的 “IPSec 设置 ”对 话 框 ， 选 中 “使 用 预 共 享 的 密 钥 作 
为 身份 验证 ” 复 选 框 ， 输 入 密 钥 ， 单 击 “ 确 定 ”按钮 ， 这 个 密 钥 必须 和 RAS 上 指 
定 的 密 钥 相 同 。 
(6) 如 图 11-72 所 示 ， 在 属性 对 话 框 的 “网 络 ” 选 项 卡 中 的 “VPN 类 型 ”下 拉 列 表 框 
中 选中 “LZTP IPSec VPN” 选 项 ， 单 击 “ 确 定 ” 按 钮 。 


和 onest 属性 [le 


第 规 选项 【安全 | 网 络 | 高 级 
YPH 类 型 E) 
T2TP IPSec YPN > 


PPTP VPN 


此 和 连接 使 用 下 列 项 目 0) 
QeS 数据 包 计划 程序 


回电 上 crosoft 网 络 的 文件 和 打印 机 共享 
回 居 版 rosoft 网 络 客户 端 


[Csr 属性 凶 


描述 
TCP/IP 是 默认 的 广域网 协议 。 它 提供 跨越 多 种 互联 网 
结 的 通讯 。 


回 使 用 预 共享 的 密 铀 作 身份 验证 &) 
密 铜 名: [Cisco 


Cm] 
人 A 图 11-71 设置 IPSec 共 全 图 11-72 指定 VPN 类 型 
(7) 如 图 11-73 所 示 ， 连 接 , 可 以 看 到 使 用 L2TP 建立 的 VPN 连接 ， 能 够 ping 通 RAS 
内 网 的 IP 地 址 ， 输 入 netstat -n 命令 ， 看 不 到 建立 的 会 话 。 因 为 L2TP 使 用 的 是 
UDP 协议 的 端口 1701。 


Docunents and Settings\han’ping 18.8.0.1 


案 文件 夹 国 : Pinging 19-B.B-1 with 32 bytes of data: 


from 19.B-B-1: 2 tine 
y fron 19-9.B- 
from 19.9-9- 


LAN 或 高 速 Internet 


和 和 R fron 18.8.8.1: byte 
| 本 地 连接 
喀 
mh g statistics for 10 


虚拟 专用 网 络 Rpproxinate round trip tine 


Mininum = ins, Maxinum 


C:\Documents and Settings\hannetstat —n 


Active Connections L2TP 使 用 UDP， 不 建立 会 话 


使 用 L2TP 协 议 建 立 Proto Local hddress Foreign hddress 
VPN 连 接 


| 11.4 3 s 


1. 是 广域网 链 路 通常 的 封装 。( 选 择 所 有 正确 答案 ) 
A. Ethernet 
BPPP 
C. Token Ring 


IC:\Docunents and Settings\han> 


A 图 11-73 使 用 L2TP 拨 通 远程 访问 服务 器 
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D. HDLC 
E. Frame Relay 
F. POTS 
. 关于 PPP 特征 的 描述 ， 下 列 是 正确 的 描述 。( 选 择 所 有 正确 答案 ) 
A. 可 封装 多 种 不 同 的 路 由 协议 
B. 只 支持 IP 
C. 能 够 在 模拟 电路 上 应 用 
D. Cisco 专用 


E. 支持 错误 诊断 


. 你 准备 将 两 个 路 由 器 的 两 个 串口 创建 一 个 点 到 点 的 广域网 连接 ， 一 端 是 Cisco 路 由 


器 ， 另 一 端 是 华为 路 由 器 ， 应 该 使 用 命令。 
A.TK1 (config-if) # encapsulation hdlc ansi 

B.TK1 (config-if) # encapsulation ppp 

C. TKI1 (config-if) # encapsulation LAPD 

D.TK1 (config-if) #encapsulation frame-relay ietf 
E. TKI1 (config) #encapsulation ppp 


. 关于 描述 帧 中 继 点 到 点 子 接口 的 描述 ， 下 列 描述 是 正确 的 。( 选 择 两 个 答 


案 ) 

A. 需要 用 来 实现 逆向 ARP 

B. 每 一 个 DLCI 映射 到 一 个 单独 的 IP 子 网 

C. 多 个 DLCI 映射 单一 IP 子 网 

D. 解决 NBMA (none broadcast multiaccess) 水 平分 割 


E. Requires use of the frame-relay map command 


. 你 的 帧 中 继 网 络 在 永久 虚 电 路 上 使 用 DLCI 信息 ， 其 目的 是 。 


A. 它 确定 了 帧 中 继 的 封装 类 型 
B. 它们 标识 在 本 地 路 由 器 和 帧 中 继 交 换 机 之 间 的 逻辑 虚 电 路 
C. 它们 代表 路 由 器 的 物理 地 址 
D. 它们 代表 永久 虚 电 路 的 活跃 


.下面 命令 能 够 应 用 到 广域网 接口 ， 但 是 不 能 应 用 到 局 域 网 接口 。( 选 择 所 有 
正确 答案 ) 
A. IP address 


B. encapsulation PPP 

C. no shutdown 

D. PPP authentication CHAP 
E. Speed 

F. None of the above 


第 1 
广 过 网 基 基 
7. 你 正在 配置 的 Cisco 路 由 器 接口 使 用 PPP 封装 ， 支 持 身份 验证 。( 选 择 两 个 
答案 ) 
A.SSL 
B. SLIP 
C.PAP 
D. LAPB 
E. CHAP 
F. VNP 
8、 在 一 个 实验 中 ， 两 个 路 由 器 使 用 广域网 接口 连接 ,没有 DCE 设备 ， 使 链 路 up， 需 要 
附加 的 命令 。 


A. serial up 


B. clockrate 
C. clock rate 
D. dce rate 
E. dte rate 
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